SshMemo

ssh を使ったポートフォワーディングとvncreflector のメモ

リモートのPOPをローカルからssh経由で普通のpop3dでもセキュアにアクセスするのはよく見るが、逆はあまりみない。

• remotehost:110 を localhost:9110 でアクセスする

ssh -N -f -L 9110:remotehost:110 remotehost

これはよくみる。

• localhost:1234 を remotehost:5678 でアクセスさせる

ssh -N -f -R 5678:localhost:1234 remotehost

しかしこれでは、remotehost:5678は remotehost内からしかアクセスできない。逆 proxy として使うというヤバメの目的のときには sshd_config 内に

GatewayPorts yes

を入れる必要がある。

• ついでに、vncreflector のメモ

  ダウンロードとmake はそんなにむずかしくない。起動は

  vncreflector -l 5999 ConfFile

  -L はローカルでサーブするport番号。ConfFile はファイルで、

  192.168.1.234:1 hogehoge
  *:5999 hoge

  とすると、192.168.1.234 のdisplay 1 で動いているVNC サーバにパスワードhogehoge でつないで、5999でパスワードhoge で(パスワードは平文(む〜ん))Listen ってことらしいが、password が効かない・・・それに、みんなでマウスの取りあいになるようだ・・・

  どうやら、-pで指定するパスワードファイルが必要で、一行目がフルコントロールで二行目がリードオンリー(これまた平文(笑))という作りらしい。よって

  fdsf9ds0932fdjsakfdsa93023ru89fjdksvjkl(適当すぎ)
  hoge

  みたいなファイルを作って(仮にPassFileとしたと思ってくだサイ)

  vncreflector -l 5999 -p PassFile ConfFile

  とやればよい。で、ssh とくみあわせると、こないだみたいに、NATの内側でVNCでデモってるのをネットごしにあちこちの人に見せるってことができる。read only であれば、デモを見てる側も気をつかわなくてよくていいかも。

追加のメモ

上で書いた方法だと、母艦が無線LANでDHCP、そこにTAPデバイスで、coLinux をNAT で裏につないでいる場合都合がわるいデス。

なぜこういう構成を取るかといえば、ノーパソ(「ン」じゃないので注意(なにを))をもちあるいて、あちこちで無線LANアクセスを取る場合、一番手間がかかりにくいのが、この構成だと感じているのでそうしているわけなのデス。 有線ならWinPCAPで、DHCPx2 にできるし(並列に二台並んでいるように見える)、無線でも、ずっと自宅とオフィスとかから動かさないのであれば、TAPで普通にRouting 組めばいいのですが、持ちあるく場合には、ルータとかさわれまセン。

解決策としては、考えてみれば、どこかのネットから見えるサーバに、sshで入る権限があるわけデスから、そちらの鯖で vncreflector を上げて、そこへ ssh で中継してあげればいいというわけデス。

この場合は、自分のPC以外であっても、そのプライベートIPのLAN の中で見えるものであれば、中継ができちゃうということになるハズです。

試したらできました。

vnchost:2 で XVnc が動いてるとして、NAT内のvnchost と、ネットから見えるserverhostが両方見える Windows 上の cygwin を使って

ssh -N -f -R 5911:vnchost:5902 serverhost

と、しておいて(バックグラウンドに落ちないけど、まイっか)、serverhost にvncreflector をインスコして、ConfFileを

127.0.0.1:11 hogehoge
*:5999 hoge

ってして

vncreflector -l 5999 -p PassFile ConfFile

とすると、serverhost::5999 でUltraVNC から見えた。すばらしいデス > vncreflector

こうすれば、serverhost でroot が完全にいらないですネ(sshd_confの修正が不要)