UDP трафік через тунель SSH

Назва в значній мірі підсумовує це. Я хотів би відправити трафік UDP через тунель SSH. Зокрема, мені потрібно мати можливість відправляти пакети UDP через тунель і сервер мати можливість надсилати їх мені назад з іншого боку. Я знаю, як це зробити для TCP-з'єднань. Чи можливо це за допомогою UDP?

Цей невеликий посібник розповідає, як надсилати UDP-трафік через SSH, використовуючи інструменти, стандартні (ssh, nc, mkfifo), для більшості UNIX-подібних операційних систем.

Виконання тунелювання UDP через з'єднання SSH

Крок за кроком Відкрийте передній порт TCP зі своїм SSH-з'єднанням

На локальній машині (локальній) підключіться до віддаленої машини (сервера) за допомогою SSH з додатковою опцією -L, щоб SSH з TCP-портом вперед:

local# ssh -L 6667:localhost:6667 server.foo.com

Це дозволить TCP-з'єднанням на номер порту 6667 вашої локальної машини пересилати на номер порту 6667 на сервері server.foo.com через захищений канал. Встановіть TCP на UDP вперед на сервері

На сервері ми відкриваємо слухач на порту 6667 TCP, який буде пересилати дані до порту 53 UDP зазначеного IP. Якщо ви хочете переадресувати DNS, як я, ви можете взяти IP першого сервера імен, який ви знайдете в /etc/resolv.conf. Але для початку нам потрібно створити фіфо. Фіфо необхідний для двостороннього зв'язку між двома каналами. Проста оболонка передає лише стандартний вхід лівого процесу «стандартний вихід до правого процесу».

server# mkfifo /tmp/fifo
server# nc -l -p 6667 < /tmp/fifo | nc -u 192.168.1.1 53 > /tmp/fifo

Це дозволить пересилати трафік TCP на порт 6667 сервера до трафіку UDP на порту 53 192.168.1.1 і відповіді повертатися. Налаштуйте UDP на TCP вперед на вашому комп'ютері

Тепер нам потрібно зробити протилежне тому, що було зроблено вгорі на локальній машині. Вам потрібен приватний доступ, щоб зв’язати порт UDP 53.

local# mkfifo /tmp/fifo
local# sudo nc -l -u -p 53 < /tmp/fifo | nc localhost 6667 > /tmp/fifo

Це дозволить передати UDP-трафік на порту 53 локальної машини на TCP-трафік на порту локальної машини 6667. Насолоджуйтесь локальним сервером DNS :)

Як ви, напевно, вже здогадалися, коли запит DNS буде виконуватися на локальній машині, наприклад, на локальному порту UDP 53, він буде пересланий на локальний порт TCP 6667, потім на порт TCP-порту 6667 сервера, потім на DNS-сервер сервера , Порт UDP 53 від 192.168.1.1. Щоб користуватися послугами DNS на локальній машині, поставте наступний рядок як сервер імен у своєму /etc/resolv.conf:

nameserver 127.0.0.1

Цей приклад (я думаю, що відповідь Джона вказує те саме на інше місце), описує, як отримати доступ до служб UDP / DNS іншої машини через з'єднання TCP / SSH.

Ми будемо пересилати локальний трафік UDP / 53 на TCP, потім TCP-трафік з механізмом переадресації портів SSH на іншу машину, потім TCP на UDP / 53 на інший кінець.
Як правило, це можна зробити за допомогою openvpn.
Але тут ми зробимо це з більш простими інструментами, лише openssh і netcat.

В кінці цієї сторінки - ще один коментар із посиланням на " socat",
той самий доступ до UDP / DNS,

Сторона сервера: socat tcp4-listen:5353,reuseaddr,fork UDP:nameserver:53
Сторона клієнта:socat udp4-listen:53,reuseaddr,fork tcp:localhost:5353

Додаткову інформацію див. У прикладах socat .

SSH (принаймні OpenSSH) має підтримку простих VPN. Використовуючи в клієнті -wабо Tunnelпараметр ssh, ви можете створити tunпристрій на обох кінцях, який можна використовувати для пересилання будь-якого типу IP-трафіку. (Дивіться також Tunnelна сторінці керівництва ssh_config(5).) Зауважте, що для цього потрібні OpenSSH (і, можливо, права root) на обох кінцях.

Або ви можете просто використовувати ssf (який був розроблений для обробки цього випадку використання), за допомогою простої команди:

Сторона клієнта:

#>./ssfc -U 53:192.168.1.1:53 server.foo.com

Ця команда переадресовує локальний порт 53 (dns) на порт 532.168.1.1 через захищений тунель між localhost та server.foo.com.

Вам знадобиться ssf-сервер (замість - або поруч із вашим ssh-сервером):

#>./ssfs

До речі, і клієнтська, і серверна частина ssf працюють у Windows / Linux / Mac. Це програма для користувачів, тому вам не потрібні налаштування / натискання або VPN.

Щоб перенаправити порт 53, вам знадобляться права адміністратора - незалежно від інструменту, який ви використовуєте.

Для отримання додаткової інформації, деталей, використовуйте регістр або завантажте: https://securesocketfunneling.github.io/ssf/

Мені не ncвдалося працювати на SNMP, оскільки клієнти SNMP постійно вибирають новий вихідний порт UDP, і декілька можуть бути активними відразу.

Натомість я написав публікацію, в якій описував, як це зробити socatу цій публікації блогу , використовуючи SNMP як приклад. По суті, використовуючи два термінали, починаючи з огляду:

Термінал перший:

client$ ssh -L 10000:localhost:10000 server
server$ socat -T10 TCP4-LISTEN:10000,fork UDP4:switch:161

Це створює SSH пересилання TCP-порту 10000 і запускає socat на сервері. Зверніть увагу, як IP-адреса комутатора згадується в командному рядку socat як "комутатор".

Термінал другий:

client$ sudo socat UDP4-LISTEN:161,fork TCP4:localhost:10000

Це налаштовує socat на клієнта. Це повинно це робити.

VPN - це краще рішення, якщо у вас є доступ до порту UDP.

Якщо ви маєте доступ лише до порту TCP SSH, то тунель SSH такий же хороший, як і VPN, принаймні для зворотного відстеження пінгу та пакетів.