つながるSSHトンネルが俺の力だ!
ハハッ!
SSHトンネルがあればなんでもできる。SSHトンネルがあれば リモートワークしている同僚のターミナルを共有することもできる(しゃくれながら)
@pjxiao が SSH を使いこなしているのを見て悔しかったので自分もちゃんと理解しようと思い記事にします。
ローカルフォワーディング
開発者にとってはこれが最も一般的な使い方かなーと勝手に思ってます。
DBや内部システムで使われるサーバではアクセス元制限がかかっていることが多いんですが、動作確認のために接続したくなることはよくあります。
特に開発用のDBのレコードをローカル環境のプログラムで表示したくなるケースはとっても多いです。ね?
こんなときに使うのが俗にSSHポートフォワーディングと呼ばれるもので、ローカルに対するアクセスをリモートに受け流す方法です。
-Lオプション
具体的には-Lオプションを使います。
ssh 踏み台ホスト -L ローカルポート:リモートホスト:リモートポート
-L オプションは ローカルへの通信をリモートにバインドするためのオプションです。
実例を示します。Webサーバ以外からは接続できない MySQL サーバがあります。
Webサーバのホストは `www.example.com` で MySQL サーバのホストは `mysql.example.com` とします。
Webサーバでは22番ポートが全体に対し、MySQLサーバでは3306ポートがWebサーバのみに対し公開されている(危ない)設定だと思ってください。
(実際に試した環境はこれではないんですが、公開できないので書き換えてます)
最初にリモートホストに直接接続を試みます。
$ mysql -u username -p -h mysql.example.com Enter password: ERROR 2003 (HY000): Can't connect to MySQL server on 'mysql.example.com' (60)
つながりませんでした。これは期待通りです。
次に以下のようにトンネルを張ります。
$ ssh www.example.com:22 -L 3307:mysql.example.com:3306 Last login: XXX XXX HH:MM:SS YYYY from aa.bb.cc.dd
www.example.com に SSH 接続されました。
少しわかりにくいのですがこの時点で localhost:3307 ポートと mysql.example.com:3306 がトンネルでつながっています。
(ポート番号をずらしたのは読んでいる方が混同しないためなので、同じにしてもOK)
さて、ここで別のターミナルでローカルの 3307 番に接続してみましょう。トンネル元(localhost側)でやってください
$ mysql -u username -h localhost --protocol tcp --port 3307 -p Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 69664
今度はつながりましたね。
脱線ですが –protocol tcp がないと unix domain socket で接続を試みるようです(ループバックアドレスでも良いとのこと)
ローカルポートのmysqlに対してTCPで接続する
プログラムであれば、DBの接続先を上記のようにローカルに合わせれば動くようになるはずです。
この例は MySQL ですが PostgreSQL などのDBも同様です。さらに言えばDBに限った話ではないです。
-Nオプション
-L オプションでトンネルは掘ってくれましたが、接続先サーバでシェルが起動してしまいました。
トンネルするためなのでシェルは要らないという場合、-N オプションを指定します。
$ ssh -N www.example.com:22 -L 3307:mysql.example.com:3306
するとこの状態で止まります。プロセスを止めない限りフォアグラウンドに居続けます。
止まってくれたほうがわかりやすい感じがしますが、この状態で十分でしょうか?
-fオプション
固まり続けるターミナルなんて必要ありませんよね?私は要りません。
同時に -f オプションをつけてみましょう。
このオプションを指定するとプロセスがバックグラウンドで実行されるようになります。
以下のように連ねて記述できます。(本当はLオプションも繋げられるけどね)
$ ssh -fN www.example.com:22 -L 3307:mysql.example.com:3306 $ # 別のコマンドを入力できる。
ちなみに -f オプションだけ指定はできません。エラーです。
$ ssh -f www.example.com:22 -L 3307:mysql.example.com:3306 Cannot fork into background without a command to execute.
多段接続する
ここまで読んで、「いやいや、WebサーバのSSHポート全体に公開してないからw」という人も多いでしょう。
たしかに踏み台と呼ばれる中間のサーバからしか接続を許可していないことがよくあります。
このような場合、SSH接続を複数繋げて多段にします。
登場人物(gateway.example.com)を一人増やして接続例を見てみましょう。
-tオプション
-tオプションの後ろには SSH 接続先のサーバで実行するためのコマンドを記述できます。
これを利用して更に SSH コマンドを書けば多段接続となります。
$ ssh gateway.example.com -t ssh www.example.com
とっても簡単ですね。更に接続を増やしたい場合、-t オプションを増やしていけばOKです。
先程のトンネルと組み合わせると以下のようになります。
$ ssh gateway.example.com -fNL 3307:mysql.example.com:3306 -t ssh www.example.com $
ProxyCommand
上記のように毎回複数のホストを書くのは結構な手間です。
~/.ssh/config を設定することで最終ホストの指定だけで接続できるようになります。
Host www.example.com HostName www.example.com User username ProxyCommand ssh -W %h:%p gateway.example.com
更に接続を増やしたい場合、例えば gateway2 -> gateway -> www のようにホップしたいときは以下のように記述します。
Host www.example.com HostName www.example.com User username ProxyCommand ssh -W %h:%p gateway.example.com IdentityFile ~/.ssh/id_rsa Host www.gateway.com HostName www.gateway.com User username ProxyCommand ssh -W %h:%p gateway2.example.com IdentityFile ~/.ssh/id_rsa2 Host gateway2.example.com HostName gateway2.example.com User username IdentityFile ~/.ssh/id_rsa3
SSH-Agentが有効な場合か中間サーバ側に接続用の設定がある場合は IdentityFile の設定は不要です。
多段sshの方法
この設定をしておけばトンネル時に最終ホストだけを指定すれば良いので、長期的に利用する場合はこちらのほうがおすすめです。
今回 SSH-Agent の説明はしません。
SOCKSで接続する
SSH トンネルを SOCKS プロキシとみなす方法です。
プロキシはアクセス元やアクセス先の制限に利用されたりしますが、今回はアクセス元制限されているというシナリオを考えてみましょう。
さっきのローカルフォワーディングで良いでしょうか。答えは状況によるのですが概ね No です。
試しに hatenablog にローカルフォワーディングで繋いでみましょう。
$ ssh gateway.example.com -NL 8888:hatenablog.com:80
次にWebブラウザのアドレスバーに localhost:8888 にアクセス。
なんとかページは表示されましたが何故か404。
Webサーバにとっても、Webブラウザにとっても、あるいはWebアプリにとってもアドレス(ドメイン)というのは大事な意味を持ちます。サーバ側とブラウザ側でこの解釈が異なると表示が崩れてしまうのは仕方のないことなのです。
特に SSL 対応しているサイトは SSL証明書が ドメインに対して発行されているため、 localhost というドメインと一致せず弾かれることは目に見えています。
フォワーディングが適さない理由がわかりました。
こういう場合はプロキシ接続によって繋いであげる必要があります。(先程の「ProxyCommand」は関係ありませんよ)
じゃあ普通にHTTPプロキシたてればいいじゃんてことになりますが、ただ経由するだけならHTTPプロキシを建てるまでのことはないし、何よりめんどくさいです。
そこで SOCKS を使うことで SSH サーバだけで プロキシ接続できてしまいます。
Wikipedia によると
SOCKS は、ネットワーク・ファイアウォール越えやアクセス制御等を目的として、クライアントサーバ型のプロトコルが、透過的に使用できるよう設計されたプロキシ(proxy)のプロトコル、及びシステム(の一つ)である。”SOCKetS” [1] の略。
ということで、簡単に言うと HTTP にかぎらず大体どんなものでも通すプロキシです。
実際に SSH で SOCKS を使ってみましょう。
-Dオプション
-D オプションはアプリケーションレベルの動的なポート転送を指定します。
何を言ってるのかよくわかりませんが、SOCKS プロキシのためのオプションだと思えばOKです。
使い方は -L と大して変わりません。
$ ssh gateway.example.com -fND localhost:8888
Web ブラウザの プロキシ設定に移動し、SOCKS(5) の プロキシサーバ: localhost, プロキシポート:8888 となるように設定すればOKです。
HTTP プロキシではありません。はてなブログは見えましたか?
参考: https://www.kmc.gr.jp/advent-calendar/ssh/2013/12/14/tsocks.html
SSH (-D) トンネル は SOCKS プロキシのように振る舞えるがイコールではないので注意してください。
(おまけ)圧縮を指示する -C オプションと同時に使われることが多いようです。
リモートフォワーディング
ローカルフォワーディングでは公開されているサーバに対して通信をトンネルしていましたが、リモートフォワーディングは逆向きの通信をトンネルします。つまりローカルに対して通信をトンネルします。
なぜそんなことが必要かというと、ローカル環境のような非公開の端末に接続するのはネットワークの構成上難しいことが多く、リモートからローカルに対してトンネルを張るということはせず、ローカルからリモートにトンネルを張ってもらいます。それ以降の通信はリモートからローカルに行われるのでローカルフォワーディングとは逆になりますね。
| ローカルフォワーディング | リモートフォワーディング | |
|---|---|---|
| 接続時の通信方向 | ローカル→リモート | ローカル→リモート |
| 接続以降の通信方向 | ローカル→リモート | リモート→ローカル |
概念的には FTP のパッシブモードにちょっと似てるかも。ちょっとだけね。
Rオプション
これを実現するのが-Rオプションです。逆向き(リモートからローカルへ)のトンネルを貼ります。先ほどの -L オプションと対をなすイメージですね。
ローカル環境の sshd に接続して Xさん(仮称) と Fさん(仮称) の シェルを GNU Screen で共有するというシナリオで動かしてみましょう。(Xさんありがとう)
Xさん と Fさん はお互い違う場所におり、二人をつなぐ中間サーバとして gateway.example.com という公開 SSH サーバ があります。
ちなみにGNU Screen とはターミナル上で複数の仮想端末を管理するためのソフトウェアです。screen プロセスは標準入出力を記憶しているため、これを利用しリアルタイムな画面共有を実現しようという試みです。
使い方は GNU screen コマンド勉強録 でも解説しています。
ローカル環境に SSH 接続したいので https://hub.docker.com/r/rastasheep/ubuntu-sshd/ のイメージを使って用意します。vagrant とか使ってる人はデフォルトでSSHが動作してるので楽ですね。
今回は Fさん 側のシェルを共有するので、Fさん側で色々準備します。
$ docker pull rastasheep/ubuntu-sshd $ docker run -d -p 22 rastasheep/ubuntu-sshd /usr/sbin/sshd -D e0015af4ec5cea58f39a12e22942d3389c6e7ca3bb82496be785a89eab812742 $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES e0015af4ec5c rastasheep/ubuntu-sshd "/usr/sbin/sshd -D" 10 seconds ago Up 6 seconds 0.0.0.0:32769->22/tcp elated_easley $ ssh root@localhost -p 32769 The authenticity of host '[localhost]:32769 ([::1]:32769)' can't be established. ECDSA key fingerprint is SHA256:9U5v1a2QycyWSEGFL3GnU6OAaTmWjKaScIDGKlbH5so. ECDSA key fingerprint is MD5:0e:fc:94:f4:8e:f6:bd:2a:c8:42:7c:4c:86:51:05:b2. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[localhost]:32769' (ECDSA) to the list of known hosts. root@localhost's password: # root で入れる root@e0015af4ec5c:~# apt-get install screen Reading package lists... Done (...後略)
準備が完了したので接続してみましょう。
| 流れ | Fさん | Xさん |
|---|---|---|
| トンネル |
# docker ps で表示されてるポートに合わせてトンネルを張る $ ssh gateway.example.com -R 22222:localhost:32769 |
# Fさんの作ったトンネルに接続する $ ssh gateway.example.com -t ssh root@localhost -p 22222 root@localhost's password: # root と入力 |
| スクリーン |
root@e0015af4ec5c:~# screen -S shared_screen |
root@e0015af4ec5c:~# screen -x shared_screen # アタッチする |
| 共有中 |
root@e0015af4ec5c:~# date Thu Dec 14 14:37:15 UTC 2017 |
root@e0015af4ec5c:~# date Thu Dec 14 14:37:15 UTC 2017 |
同じ画面が見えていますね。共有できたのでこれにて一件落着です。
Unix domain socket 同士で Screen だけ使って画面共有できたりしないかなーと思ったんですけど 接続が fail して共有できませんでした。(調べたけど時間切れ)
その他参考にしたリンク:
![[Python]常識ですよ?と言われないための引数入門](data:image/png;base64,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 "[Python]常識ですよ?と言われないための引数入門")
![[Python] 初中級者のためのpytest入門](data:image/png;base64,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 "[Python] 初中級者のためのpytest入門")
