Trong bài viết này, chúng tôi sẽ hướng dẫn cách sử dụng máy chủ Windows 10 OpenSSH tích hợp sẵn để chuyển tiếp các cổng qua đường hầm SSH . Chuyển tiếp cổng SSH cho phép bạn chuyển (chuyển tiếp) các cổng ứng dụng từ máy tính cục bộ đến máy chủ từ xa và ngược lại. Trước đây SSH tunneling chỉ được sử dụng trong môi trường Linux / Unix, nhưng ngày nay bạn cũng có thể sử dụng nó trong Windows 10 / Windows Server 2016. Đây là một nghiên cứu điển hình về cách sử dụng kết nối RDP qua đường hầm SSH (cổng TCP 22) trên Windows.
SSH tunneling chủ yếu được sử dụng trong các tình huống khi bạn cần kết nối với một máy tính từ xa phía sau tường lửa. Ví dụ:bạn có Máy chủ Windows chỉ mở cổng SSH (TCP 22). Tất cả các cổng khác đều bị chặn bởi tường lửa phần cứng hoặc Tường lửa Windows. Nhiệm vụ của bạn là kết nối với Windows Server bằng máy khách RDP. Điều này dường như không thể thực hiện được vì cổng 3389 của Máy tính Từ xa đã bị tường lửa chặn. Tuy nhiên, bạn có thể sử dụng kỹ thuật chuyển tiếp cổng thông qua đường hầm SSH.
Dưới đây là các tình huống sử dụng điển hình của đường hầm SSH:
- Chuyển tiếp TCP cục bộ là một cổng chuyển tiếp cục bộ đến một máy chủ từ xa;
- Chuyển tiếp TCP từ xa là một cổng chuyển tiếp từ xa tới máy tính cục bộ;
- Đường hầm SSH kép kết nối các máy tính mà không có bất kỳ địa chỉ IP pubic chuyên dụng nào sau NAT thông qua máy chủ SSH (nếu giải pháp OpenVPN không áp dụng được).
Truy cập RDP qua Đường hầm SSH (Chuyển tiếp TCP cục bộ)
Trong chế độ này, bạn tạo một cổng TCP cục bộ trên máy tính của mình. Tất cả các kết nối đến cổng này được chuyển tiếp đến cổng được chỉ định trên máy chủ từ xa thông qua đường hầm SSH. Trong ví dụ này, chúng tôi sẽ tạo một Cổng cục bộ 8888 và kết nối với nó sẽ được chuyển tiếp đến cổng RDP 3389 trên máy tính Windows từ xa. Sơ đồ kết nối chung được hiển thị bên dưới.
Để tạo đường hầm SSH bằng ứng dụng khách Windows 10 SSH được tích hợp sẵn (là một phần của Windows bắt đầu từ Windows 10 1809 và Windows Server 2019), hãy chạy lệnh sau:
ssh -L 8888:192.168.1.90:3389 root@192.168.1.90
Để kết nối với máy tính để bàn từ xa qua đường hầm SSH, bạn cần kết nối với Cổng cục bộ 8888 của máy tính bằng ứng dụng khách RDP (mstsc.exe):
127.0.0.1:8888
Đăng nhập vào máy tính từ xa và làm việc an toàn trong phiên RDP (nhưng bạn nhớ rằng cổng 3389 vẫn bị tường lửa đóng). Bạn có thể sử dụng công cụ TCPView để đảm bảo rằng kết nối RDP là cục bộ (kết nối RDP được khởi tạo bởi máy chủ SSH đang chạy cục bộ).
Xin lưu ý rằng nếu bạn chuyển tiếp một lưu lượng ứng dụng không được mã hóa, nó sẽ được truyền mã hóa qua các mạng công cộng. Một lưu lượng truy cập như vậy sẽ được mã hóa ở một đầu của kết nối SSH của bạn và được giải mã ở đầu kia.
Các máy tính khác trong mạng cục bộ của bạn cũng có thể sử dụng chế độ này để kết nối với máy chủ RDP ngay cả khi kết nối trực tiếp không được phép (cả qua SSH và qua RDP). Để làm điều đó, họ phải kết nối qua máy khách RDP với cổng số 8888 trên máy tính của bạn với đường hầm SSH được tạo:
mstsc.exe /v 10.10.1.220:8888
Chuyển tiếp TCP từ xa tới máy tính cục bộ
Có một trường hợp sử dụng đường hầm SSH khác - chuyển tiếp TCP từ xa. Sử dụng đường hầm SSH, bạn có thể cho phép máy chủ từ xa truy cập vào một cổng cục bộ trên máy tính của bạn hoặc một cổng trên một máy tính khác trong mạng cục bộ của bạn. Ví dụ:bạn muốn một máy chủ bên ngoài (200.168.1.90) truy cập trang Intranet của bạn (không được xuất bản trên Internet). Để tạo đường hầm SSH ngược, hãy sử dụng lệnh sau:
ssh -R 8080:internalwww:80 user@200.168.1.90
Để có quyền truy cập vào trang webwwww nội bộ từ máy chủ SSH từ xa, chỉ cần nhập địa chỉ này vào trình duyệt:https://localhost:8080
netsh interface portproxy command Sử dụng đường hầm SSH, bạn có thể xây dựng chuỗi chuyển tiếp cổng. Để bật hoặc tắt tính năng tạo đường hầm SSH, hãy thêm một trong các lệnh sau vào tệp cấu hình OpenSSH (% programdata% \ ssh \ sshd_config ):
AllowStreamLocalForwarding yes AllowTcpForwarding remote