Как подключится к серому ip по ssh?

Question

[interprise]

Требуется пробросить порт на машину у машины с серым ip на машину с белым.
Сейчас у меня есть решение этой задачи, с помощью форвардинга портов. Те к машине с белым ip идет подключение по ssh и там уже настрое форвардинг. В этом решении меня устраивает все, кроме того факта что сервер ( у которого сервый ip) получает полный доступ к машине. Таким образом возникает вопрос, как настроить ssh сервер, так чтобы он только позволял делать форвард портов и нечего более. На машине с белым ip установлен windows, даже была мысль крутить виртуальную машины с linux для этих целей, но считаю этот вариант слишком избыточным. Может быть есть какой-то контейнер для ssh? просто настройками прав доступа в windows как я понимаю проблему не решить, все равно у пользователя будут избыточные права.

Сейчас делаю так ssh ПОЛЬЗОВАТЕЛЬ@УДАЛЕННЫЙ_IP -R 127.1:1022:127.1:22
но у этой схемы есть вышеописанный недостаток, кроме собственно порт форвардинга получаем лишние права

В обсуждении выяснилось, что я плохо задаю вопросу. поэтому более подробно

Есть машина A серый ip.
Есть машина B белый ip.
Задача стоит очень простая, подключится с машины B к ssh серверу машины A.
Выше я написал свое решение, но кроме собственно возможности подключатся по ssh мы получаем права пользователя и как не урезай права системой, все равно останутся лишние.
Как вариант можно настроить vpn но для задачи подключения к одному порту, мне это видеться слишком "жирным" решением, да и опять же машина A получает доступ к подсети машины B. что тоже является лишним.

Answer 1

[ivankomolin]

Я не совсем понял это

сервер ( у которого сервый ip) получает полный доступ к машине

Но вы правильно заметили "портфорвардинг". Простое описание, как это можно реализовать:
1. Необходимо ssh серверу(на машине с серым ip) поменять порт который он слушает на другой(который не используется на машине с белым ip, например - 1020)
2. На машине с белым ip(это может быть роутер) настраиваем портфорвардинг всех запросов порта 1020 на серый ip на порт 1020
3. Подключаемся по ssh к белому ip указывая порт 1020 -> попадаем на машину с серым ip

Comments

[interprise]

мы не можем подключится к машине с серым ip с машины с белым ip. поэтому ваша схема не подходит. Сейчас машина с сервым ip подключается по ssh к машине с белым, но в месте с возможностью форвардинга получаем еще кучу "лишних" прав.

[ivankomolin]

Вы наверное не поняли то, что я описал, вы попробуйте еще раз прочитать. Я не предлагаю подключаться к машине с серым ip с машины с белым ip. Я предлагаю настроить портфорвардинг, который позволяет напрямуя подключаться к машине с серым ip просто используя белый ip адрес.

[ivankomolin]

я не понимаю другого, зачем вы с машины с серым ip подключаетесь к машине с белым ip? зачем это?

[interprise]

как вы предлагаете сделать
2. На машине с белым ip(это может быть роутер) настраиваем портфорвардинг всех запросов порта 1020 на серый ip на порт 1020
как можно настроить порт форвардинг на машину с серым ip? при условии что машины на прямую не могут подключится.

[ivankomolin]

Значит я не правильно понял ваш вопрос: "Как подключится к серому ip по ssh?" Я думал имеется ввиду что нужно подключиться к локальной машине с серым ip извне, т.е. через белый ip

[interprise]

ivankomolin: вы правильно поняли, и сейчас есть рабочая схема
ssh ПОЛЬЗОВАТЕЛЬ@УДАЛЕННЫЙ_IP -R 127.1:1022:127.1:22
но у этой схемы есть недостаток, машина получает лишние права на машине с белым ip

[ivankomolin]

interprise: Опишите подробнее ситуацию: каким образом "машина получает лишние права на машине с белым ip" если вы написали выше "при условии что машины на прямую не могут подключится"

Либо вы меня не хотите понять, либо я вас не понимаю)))

Ваше решение на мой взгляд для такой задачи совсем неприемлемо.

Любая машина с серым ip при подключении к интернету всегда имеет какую-либо связь c "белым ip"
Опишите подробнее вашу инфраструктуру начиная от места где кабель с белым ip входит в вашу сеть, и тогда возможно я смогу вам помочь

[interprise]

Есть машина A серый ip.
Есть машина B белый ip.
Задача стоит очень простая, подключится с машины B к ssh серверу машины A.
Выше я написал свое решение, но кроме собственно возможности подключатся по ssh мы получаем права пользователя и как не урезай права системой, все равно останутся лишние.
Как вариант можно настроить vpn но для задачи подключения к одному порту, мне это видеться слишком "жирным" решением, да и опять же машина A получает доступ к подсети машины B. что тоже является лишним.

[ivankomolin]

Все понял. Но все же задачу нужно решать с другой стороны. т.е. сначала добиться того, чтобы к машине A был доступ извне, т.е. по сути получить каким-то образом для нее белый ip по которому можно к ней будет подключаться.

[ivankomolin]

машина B тут ни причем, она будет являться клиентом, и ее трогать не нужно.
вопрос нужно решать с сетью в которой стоит машина A

[ivankomolin]

нужно в этой сети настроить портфорвардинг белого ip какого-либо порта на серый ip, поменять настройки ssh сервера и все

[interprise]

ivankomolin: ну это очевидно. но сделать белый ip нету возможности

[ivankomolin]

я уже написал, то белый ip всегда есть, там где есть интернет) что значит нет возможности сделать белый ip? Если у вас нет доступа к оборудованию на котором можно настроить портфорвардинг, то можно поискать открытый порт, который не нужен и использовать его, не настраивая портфорвардинг

[interprise]

я сижу за NAT оборудование настраивать мне никто не даст, так бы вопрос не стоял.

[ivankomolin]

ну тогда подключаться можно только с машины A в любую другую точку интернета. Но никак не наоборот, как это не обзови.