中間マシンを介してSSHトラフィックを転送する

SSHトンネリングは非常に混乱しています。Linuxでこれができるかどうか疑問に思っています。

私は3台のマシンを持っています。

A. My local machine at home.
B. Machine at work that I can SSH into (middle man).
C. My desktop at work that I can only SSH into from machine B.

したがって、A-> BおよびB-> CからSSHできますが、A-> Cからはできません。

AからBまでのSSHトンネルを設定する方法はありますか。他のSSHコマンドを実行すると、ローカルマシンAから動作しますか？私は基本的に職場から自宅にgitリポジトリのクローンを作成しようとしています（マシンBにgitをインストールすることはできません）。

また、一度セットアップすると..どのように設定を解除できますか？

これ.ssh/configをhostA上のファイルに配置します（詳細については、man 5 ssh_configを参照）。

# .ssh/config on hostA:
Host hostC
    ProxyCommand ssh hostB -W %h:%p

これで、次のコマンドがhostBを自動的にトンネルします

hostA:~$ ssh hostC

内部のラッピングは計算コストがかかり、余分な労力とラッパーは、既に暗号化されたトラフィックをトンネリングしているときほど安全である必要がないため、オプションを追加したり、速度を上げ-oCiphers=arcfourたりできます。-oClearAllForwardings=yessshssh

5.3より前のOpenSSHを使用している場合、この-Wオプションは使用できません。この場合、netcat（nc）を使用して上記を実装できます。

ProxyCommand ssh hostB nc %h %p  # or netcat or whatever you have on hostB

編集：これは間違ったアプローチです。代わりに、ephemientの回答を参照してください。この答えは機能しますが、潜在的に安全性が低く、間違いなく劣ります。

次のようなソリューションが必要なようです。

ssh -L localhost:22:machinec:22 machineb

これにより、上のシェルが取得されますmachineb。これはそのままにしておきます。端末ウィンドウを最小化します。

これで、にssh接続するたびにlocalhost、実際にに接続されmachinecますmachineb。トンネルが完了したら、上記のコマンドを実行したターミナルを閉じます。

コマンドを実行するには、スーパーユーザー権限が必要になることに注意してください。

Cでsshが発生するAのシェルエイリアスが必要なように聞こえます

1. Aでは、ssh me @ b "ssh me @ c hostname"と入力して、 "C"に戻ることができると仮定します。
2. sshc fooをssh me @ b "ssh me @ c foo"に展開するエイリアスsshcを作成します
3. エイリアスを作成する正確な構文については、superuser.comをご覧ください

対話型シェルの場合、次の簡単なコマンドを使用できます。

ssh -J <user>@<hostB> <user>@<hostC>

-Jオプションはjump用です。

雇用主がVPNを提供している場合は、代わりにそれを使用することをお勧めします。

そうすれば、アプリケーションを特別に構成する必要はなく（sshさえ）、ファイアウォールの背後にあるマシンを見ることができます。さらに、すべてのトラフィックはVPNソフトウェアによって暗号化されます。これにより、不注意または意図的に暗号化されていないトラフィックにセキュリティが追加されます。

YASSさらにもう1つのシンプルなソリューション

ssh -f -L 2222:HostC_IP_or_Name:22 userOnB@hostB sleep 10 &&
    ssh -o HostKeyAlias=HostC -p 2222 userOnC@localhost

• 最初のコマンドはへのssh接続開くホストBをと言うホストBをからの接続転送するためにはlocalhost：2222に22：HostCに。
• -fパラメーターは、接続が確立されるとバックグラウンドに移行するようSSHに指示します
• 2番目のコマンドは、単にlocalhost：2222へのクライアント接続を開きます
• オプションHostKeyAliasは必須ではありませんが、間違ったホストへの接続を防ぐのに役立ちます
• 注：sleep 102番目のsshコマンドが転送ポートを使用するまで接続を維持するには、コマンドが必要です。次に、2番目のsshが転送ポートを離れると、最初のsshが閉じます。

これで、後続のsshセッションを実行できます。

ssh -o HostKeyAlias=HostC -p 2222 userOnC@localhost

バリアント：

ssh -f -L 2222:HostC_IP_or_Name:22 userOnB@hostB sleep 10 &&
    ssh -M -S ~/.ssh/ssh_HostC22userOnC.sock -o HostKeyAlias=HostC -p 2222 userOnC@localhost

次を実行することにより、後続のsshセッションを開くことができます。

ssh -S ~/.ssh/ssh_HostC22userOnC.sock userOnC@localhost

-Mおよび-S paramを使用する主な利点は、HostAからHostCへの接続が1つだけ開かれ、後続のセッションが再度認証されず、はるかに速く実行されることです。

特殊なケース、混合nixプラットフォーム：

  hostA（linux）-> HostB（solaris）-> HostC（linux）

hostCにXアプリケーションが必要で、中間ホップがSolarisボックスにある場合...この場合、ProxyCommandにnetcat（nc）が必要であることがわかりました。

hostA：〜$ vi .ssh / config：

ホストhostC
    ProxyCommand ssh hostB nc％h％p＃ここで、ncはnetcatです

その後、自動トンネリングが機能します。

hostA：〜$ ssh hostC