9.2.2.3. Verschlüsselte Tunnel mit Port-Weiterleitung einrichten
Die Optionen
-R
und
-L
des Befehls
ssh
ermöglichen es, „verschlüsselte Tunnel“ zwischen zwei Rechnern zu erstellen, und so einen lokalen TCP-Port (siehe
ZURÜCK ZU DEN GRUNDLAGEN TCP/UDP in der Seitenleiste) sicher an einen entfernten Rechner weiterzuleiten und umgekehrt.
ssh -L 8000:server:25 intermediary
eröffnet eine SSH-Sitzung mit dem Host
intermediary
und nimmt am lokalen Port 8000 Verbindungen an (siehe
Abbildung 9.2, „Einen lokalen Port mit SSH weiterleiten“). Für jede Verbindung, die an diesem Port hergestellt wird, baut
ssh
eine Verbindung vom Rechner
intermediary
zum Port 25 des
server
auf und verknüpft beide Verbindungen.
ssh -R 8000:server:25 intermediary
eröffnet auch eine SSH-Sitzung zum Rechner
intermediary
, aber
ssh
nimmt dann auf diesem Rechner an Port 8000 Verbindungen an (siehe
Abbildung 9.3, „Einen entfernten Port mit SSH weiterleiten“). Jede Verbindung, die an diesem Port hergestellt wird, veranlasst
ssh
, eine Verbindung vom lokalen Rechner zum Port 25 des
server
zu öffnen und beide Verbindungen miteinander zu verknüpfen.
In beiden Fällen werden Verbindungen zu Port 25 auf dem Host server
hergestellt, die durch den SSH-Tunnel laufen, der zwischen dem lokalen Rechner und dem Rechner intermediary
hergestellt wurde. Im ersten Fall ist der Eingang zum Tunnel der lokale Port 8000, und die Daten laufen zum Rechner intermediary
, bevor sie zum server
im „öffentlichen“ Netzwerk geleitet werden. Im zweiten Fall sind Ein- und Ausgang im Tunnel vertauscht: der Eingang ist Port 8000 auf dem Rechner intermediary
, der Ausgang ist auf dem lokalen Host, und die Daten werden dann zum server
geleitet. In der Praxis ist der Server normalerweise entweder der lokale Rechner oder der intermediäre. Auf diese Weise sichert SSH die Verbindung von einem Ende zum anderen.