Come rendere il tunnel ssh aperto al pubblico?

Se controllate la pagina man di ssh, troverete che la sintassi per -R dice:

-R [_bind\_address_:]_port_:_host_:_hostport_

Quando `bindaddress`_ è omesso (come nel tuo esempio), la porta è legata solo all'interfaccia di loopback. Per farla legare a tutte le interfacce, usa

ssh -R \*:8080:localhost:80 -N root@example.com

o

ssh -R 0.0.0.0:8080:localhost:80 -N root@example.com

o

ssh -R "[::]:8080:localhost:80" -N root@example.com

La prima versione si lega a tutte le interfacce individualmente. La seconda versione crea un binding generale IPv4-only, il che significa che la porta è accessibile su tutte le interfacce tramite IPv4. La terza versione è probabilmente tecnicamente equivalente alla prima, ma di nuovo crea solo un singolo bind a ::, il che significa che la porta è accessibile via IPv6 nativamente e via IPv4 attraverso indirizzi IPv6 mappati IPv4 (non funziona su Windows, OpenBSD).   (Hai bisogno delle virgolette perché altrimenti [::] potrebbe essere interpretato come un glob.)

Nota che se usi OpenSSH sshd server, l'opzione GatewayPorts del server deve essere abilitata (impostata su yes o clientspecified) perché questo funzioni (controlla il file /etc/ssh/sshd_config sul server). Altrimenti (il valore predefinito per questa opzione è no), il server forzerà sempre la porta ad essere legata solo sull'interfaccia di loopback.

Edit:

-g funziona per le porte inoltrate locali, ma quello che vuoi è una porta inoltrata inversa/remota, che è diversa.

Quello che vuoi è questo .

Essenzialmente, su example.com, imposta GatewayPorts=clientspecified in /etc/ssh/sshd_config.

— risposta precedente (errata) —

Usa l'opzione -g. Dalla pagina man di ssh:

-g Allows remote hosts to connect to local forwarded ports.

Ecco la mia risposta per il completamento:

Ho finito per usare ssh -R ... per il tunneling, e usando socat sopra questo per reindirizzare il traffico di rete a 127.0.0.1:

tunnel legato a 127.0.0.1: ssh -R mitm:9999:<my.ip>:8084 me@mitm

socat: mitm$ socat TCP-LISTEN:9090,fork TCP:127.0.0.1:9999

L'altra opzione è quella di fare un tunnel solo locale, ma lo trovo molto più lento

mitm$ ssh -L<mitm.ip.address>:9090:localhost:9999 localhost

Potete anche usare un doppio inoltro se non volete o potete cambiare /etc/ssh/sshd\fig.

Prima inoltra alla porta temporanea (ad esempio 10080) sul dispositivo di loopback sulla macchina remota, poi usa l'inoltro locale per reindirizzare la porta 10080 a 80 su tutte le interfacce:

ssh -A -R 10080:localhost_or_machine_from:80 user@remote.tld "ssh -g -N -L 80:localhost:10080 localhost"

Usa l'opzione “porte gateway”.

ssh -g -R REMOTE_PORT:HOST:PORT ...

Per poterlo usare, probabilmente dovrete aggiungere “GatewayPorts yes” a /etc/ssh/sshd_config del vostro server.

Jump hosts sono un'aggiunta abbastanza recente a OpenSSH. Questo richiede l'accesso SSH all'intermediario, ma dovrebbe funzionare senza ulteriori configurazioni.

ssh -J root@example.com remoteuser@localhost -p 8080

Questo comando istruisce SSH a connettersi prima a root@example.com, e poi, da quella macchina, ad iniziare una connessione alla porta 8080 a localhost (cioè, la porta che è tunnelata dall'host di salto all'host remoto) sotto il nome utente remoteuser.

Se vuoi mettere la configurazione nel tuo ~/.ssh/config invece di usare parametri della linea di comando, puoi provare qualcosa come

Host REMOTE_HOST_NAME RemoteForward \*:8080 127.0.0.1:80

Ricorda di avere il firewall del tuo host remoto che permetta connessioni a 8080 e assicurati che l'opzione GatewayPorts del tuo config /etc/ssh/sshd non sia impostata su no