Как пробросить порт через ssh-тунель?

Question

[sho20]

Имеются 2 сервера. Один находится дома и выходит в интернет через nat без возможности прокинуть порт. Второй - это vps с белым ip.
Подключаюсь с первого сервера на второй для создания ssh-тунеля:
ssh -R 8080:localhost:8081 user@host
Теперь на vps я могу зайти на свой домашний сервер. Но мне нужно прокинуть порт дальше, чтобы при подключении к vps я попадал на домашний сервер. iptables такой порт прокинуть не хочет:

iptables -t nat -A PREROUTING -p tcp -d host_ip --dport 8080 -j DNAT --to-destination localhost:8080

iptables -A FORWARD -i ens3 -d localhost -p tcp --dport 8080 -j ACCEPT

Эти правила отлично работают с vpn и т.д.,но с ssh нечего не получается.
В чем проблема в этом случае?

Answer 1

[AUser0]

В настройках sshd на VPS-ном сервере указано GatewayPorts yes? Без этого параметра OpenSSH пропускает в туннель только свой собственный IP. Либо вписать ещё и SNAT.

Ну и порт назначения 8081 на домашнем сервере должен пускать только по паролю. И порт лучше выбрать более уникальный, 8080 достаточно распространён, взломо-сканеры его проверяют...

Comments

[sho20]

спасибо, на днях проверю,а что за snat?)

порты просто как пример приведены тут, для простоты понимания

[sho20]

AUser0 конфигурацию sshd подправил, осталось также. подскажите мне, что делать в этом случае?

mosh --ssh="ssh -R 147.78.65.245:8082:localhost:80" root@147.78.65.245

[AUser0]

Илья, что делать с ЧЕМ? Хотелось бы конкретики...

[sho20]

AUser0, как дальше поступать?) GatewayPorts yes я сделал, но, как мне порт дальше прокинуть?

[AUser0]

Илья, ну так подправляйте порт в iptables, и пробуйте. По логике - уже должно работать, из Интернета должны попадать на домашний порт 80.

[AUser0]

Илья, кстати, по более уникальным номером порта я имел ввиду какой-нибудь 43082. Порты с 8080 по 8090 часто используются для контрольных панелей, систем управления и т.д. И сканеры уязвимостей часто их проверяют, что бы потом попытаться взломать...