Comment rendre le tunnel ssh ouvert au public ?

Si vous consultez la page de manuel pour ssh, vous constaterez que la syntaxe pour -R se lit :

-R [_bind\_address_:]_port_:_host_:_hostport_

Lorsque `bindaddress`_ est omis (comme dans votre exemple), le port est lié à l'interface de loopback uniquement. Afin de le rendre lié à toutes les interfaces, utilisez

ssh -R \*:8080:localhost:80 -N root@example.com

ou

ssh -R 0.0.0.0:8080:localhost:80 -N root@example.com

ou

ssh -R "[::]:8080:localhost:80" -N root@example.com

La première version se lie à toutes les interfaces individuellement. La deuxième version crée un lien général uniquement IPv4, ce qui signifie que le port est accessible sur toutes les interfaces via IPv4. La troisième version est probablement techniquement équivalente à la première, mais là encore, elle ne crée qu'une seule liaison à ::, ce qui signifie que le port est accessible via IPv6 en natif et via IPv4 par adresses IPv4 mappées en IPv6 (ne fonctionne pas sur Windows, OpenBSD). &nbsp ; (Vous avez besoin des guillemets parce que [::] pourrait être interprété comme un glob autrement.)

Notez que si vous utilisez le serveur OpenSSH sshd, l'option GatewayPorts du serveur doit être activée (définie à yes ou clientspecified) pour que cela fonctionne (vérifiez le fichier /etc/ssh/sshd_config sur le serveur). Sinon (la valeur par défaut de cette option est no), le serveur forcera toujours le port à être lié à l'interface de bouclage uniquement.

Edit :

-g fonctionne pour les ports locaux transférés, mais ce que vous voulez, c'est un port inverse/transféré à distance, ce qui est différent.

Ce que vous voulez c'est ceci .

Essentiellement, sur example.com, mettez GatewayPorts=clientspecified dans /etc/ssh/sshd_config.

— réponse précédente (incorrecte) —

Utilisez l'option -g. Depuis la page de manuel de ssh :

-g Allows remote hosts to connect to local forwarded ports.

Voici ma réponse pour terminer :

J'ai fini par utiliser ssh -R ... pour la construction de tunnels, et par utiliser socat en plus pour rediriger le trafic réseau vers 127.0.0.1 :

tunnel lié à 127.0.0.1: ssh -R mitm:9999:<my.ip>:8084 me@mitm

socat: mitm$ socat TCP-LISTEN:9090,fork TCP:127.0.0.1:9999

Une autre option est de faire un tunnel uniquement local en plus de cela, mais je trouve cela beaucoup plus lent

mitm$ ssh -L<mitm.ip.address>:9090:localhost:9999 localhost .

Vous pouvez également utiliser une double redirection si vous ne voulez pas ou pouvez modifier /etc/ssh/sshd_config.

D'abord rediriger vers un port temporaire (par exemple 10080) sur le dispositif de bouclage de la machine distante, puis utiliser la redirection locale pour rediriger le port 10080 vers 80 sur toutes les interfaces :

ssh -A -R 10080:localhost_or_machine_from:80 user@remote.tld "ssh -g -N -L 80:localhost:10080 localhost"

Utilisez l'option “ports de passerelle”.

ssh -g -R REMOTE_PORT:HOST:PORT ...

Pour l'utiliser, vous devez probablement ajouter “GatewayPorts yes” au /etc/ssh/sshd_config de votre serveur.

Jump hosts sont un ajout assez récent à OpenSSH. Cela nécessite un accès SSH à l'intermédiaire, mais devrait fonctionner sans configuration supplémentaire.

ssh -J root@example.com remoteuser@localhost -p 8080

Cette commande demande à SSH de se connecter d'abord à root@example.com, et ensuite, depuis cette machine, d'initier une connexion au port 8080 à localhost (c'est-à-dire le port qui est tunnelé de l'hôte de saut à l'hôte distant) sous le nom d'utilisateur remoteuser.

Si vous souhaitez mettre la configuration dans votre ~/.ssh/config au lieu d'utiliser les paramètres de la ligne de commande, vous pouvez essayer quelque chose comme

Host REMOTE_HOST_NAME RemoteForward \*:8080 127.0.0.1:80

N'oubliez pas de demander au pare-feu de votre hôte distant d'autoriser les connexions à 8080 et de vous assurer que l'option GatewayPorts de votre /etc/ssh/sshd config n'est pas réglée sur no.