Kapsin logo

Kapsi Internet-käyttäjät ry

SSH-tunnelin käyttö

SSH-yhteyden kautta pystyy tunneloimaan eli putkittamaan myös muita protokollia salattuna. Tämä voi olla tarpeen esimerkiksi avointa WLAN-verkkoa käytettäessä, tai esimerkiksi Kapsin tietokantapalvelimen käyttöön omalta koneelta.

SSH tukee kolmea tunnelointityyppiä: local, remote ja dynamic-portteja. Näistä local reitittää yksittäisen portin niin, että omalla koneella ajettavat ohjelmat pystyvät yhdistämään palvelimen kautta muihin palveluihin. Remote on muuten sama, mutta palvelimen ja oman koneen roolit vaihtuvat siten, että palvelimelle avautuu määrätty portti jonka kautta muut pystyvät yhdistämään omalle koneellesi. Dynamic puolestaan luo socks5-proxyn, jonka kautta oman koneen www-selain ja muut ohjelmat voivat yhdistää mihin tahansa.

Yksittäisen portin tunnelointi

Yksittäisen portin tunnelointia voi käyttää esimerkiksi päästäkseen Kapsin tietokantoihin käsiksi omalta koneelta. Useimmiten local on haluttu tunnelointityyppi.

Komentoriviltä ajettavassa SSH:ssa tunneli MySQL:ää varten luodaan näin:

user@omakone:~$ ssh -L3306:db1.kapsi.fi:3306 tunnus@kapsi.fi

Ensimmäinen luku määrää oman koneen portin, jossa tunneli tulee näkymään. Keskimmäinen osa on kohdeosoite, johon ssh-palvelin yhdistää tunnelin kun portti avataan. Viimeinen luku on kohdekoneen portti.

PuTTY:ssä sama tehdään asetusikkunan kohdasta Connection → SSH → Tunnels, johon syötetään nämä tiedot:

Type
Local
Source port
3306
Destination
db1.kapsi.fi:3306

Lopuksi painetaan Add, minkä jälkeen yhdistetään normaaliin tapaan Lakalle.

Tunnelin avaamisen jälkeen voi omalla koneella käyttää osoitetta localhost, jossa näkyvät nyt Kapsin palvelimella olevat tietokannat. Samaa menetelmää voi käyttää myös muille palveluille, kun vain vaihtaa kohdeosoitteen ja portin. Omalla koneella avattava portti voi olla jokin muukin, mutta tällöin se täytyy asettaa myös muihin oman koneen ohjelmiin.

Socks5-tunnelointi www-selainta varten

Socks5-tunneli luodaan komentoriviltä valitsimella -D8080. PuTTY:ssä asetukset ovat:

Type
Dynamic
Source port
8080
Destination
(tyhjä)

Käytettävään www-selaimeen pitää asettaa välityspalvelimeksi osoite localhost ja portti 8080. Firefoxissa tämä tehdään kohdasta Työkalut → Asetukset → Lisäasetukset → Verkko → Muokkaa verkkoyhteysasetuksia:

SOCKS-palvelin
localhost
Portti
8080
Tyyppi
SOCKS v5

Joihinkin selaimiin täytyy tehdä myös toinen asetus, jotta myös nimipalvelinyhteydet kulkisivat tunnelin kautta. Firefoxissa tämä tehdään kirjoittamalla osoitepalkkiin about:config, ja kytkemällä avautuvalta sivulta asetus network.proxy.socks_remote_dns päälle (arvo true).

Kun tunnelia ei enää tarvitse, saa sen pois tyhjentämällä välityspalvelimen asetukset selaimesta.