PuTTY - SSH Tunnel 運用備忘

PuTTY - SSH Tunnel 運用備忘
PuTTY 除了能讓 Windows 平台以 ssh 通訊協定連入 Unix-Like 作業系統之外, ssh 連線後的通道還能達成許多目的, 如: 突破防火牆封鎖、防止網路封包竊聽、遠端存取防火牆內資源等等. 例如員工出差透過 ssh 安全通道連回公司存取資料, 以確保資料安全.

常見的 SSH Tunnel 運用如下:

透過 proxy 安全上網、讓 msn 突破防火牆封鎖
連入 smtp、pop3、vnc (遠端桌面)、samba (網路上的芳鄰)
ssh server 環境:

Unix-Like 作業系統 + ssh daemon
Windows 作業系統 + cygwin with sshd
內建 sshd 的 IP 分享器
client pc 環境:

下載 PuTTY, 將 putty.exe 置於 C:\Windows\System32 目錄中, "開始"→"執行" 或 "命令提示字元模式" 中輸入 putty 即可執行
實例一: 使用 proxy (代理伺服器)

目的: 避免被監聽 URL、蒐集密碼

↓啟動 PuTTY, 輸入 sshd host 網址



↓切換到 Connection -> SSH -> Tunnels 畫面, 輸入 Source port: 8080 (自訂), Destination: proxy server 的 IP 和 Port, 輸入完畢記得按 "Add"



↓如有需要, 可回到 Session 畫面儲存 (Save) 設定值, 以後執行 PuTTY 時可直接讀取 (Load) 設定值. 在任何畫面按 "Open" 即可以目前設定進行連線.



↓登入 sshd host 後, 將視窗縮到最小, 保持 ssh 連線



↓開啟瀏覽器, 設定 proxy 為: localhost:8080 以 IE 為例: 工具→網際網路選項→連線→區域網路設定



設定完畢回到瀏覽器主畫面, 開始透過 ssh 安全通道瀏覽網頁

實例二: MSN Messenger

目的: 突破公司防火牆限制、避免被側錄聊天內容

↓PuTTY 設定: Source port: 1080; Destination: 空白, Dynamic 設定完畢記得按 "Add" (其他 PuTTY 操作同上述)



↓MSN Messenger 設定: 工具→選項→連線→進階設定→只勾選 SOCKS 5 版, 伺服器: localhost, 連接埠: 1080



實例三: Outlook Express

目的: 避免被攔截信件內容、蒐集密碼

↓PuTTY 依序設定: Source: 25, Destination: smtp.host.ip:25; Source: 110, Destination: pop3.host.ip:110 (都是 Local)



↓Outlook Express 設定: POP3: localhost; SMTP: localhost



實例四: 網路上的芳鄰

目的: 存取遠端檔案分享資源

↓新增硬體: 網路介面卡 -> Microsoft -> Microsoft Loopback Adapter



↓取消勾選 "File and Printer Sharing for Microsoft Networks", 點選 "Internet Protocol (TCP/IP)" -> "內容" 進行下一步設定



↓設定 Loopback Adapter IP 位址為: 10.0.0.1 / 255.255.255.0, 點選 "進階" 進行下一步設定



↓點選 "停用 [NetBIOS over TCP/IP]", 按確定完成所有設定後, 重新啟動電腦.



↓PuTTY 設定: Source port: 10.0.0.1:139; Destination: samba.server.ip:139 或 其他 windows 分享電腦 : 埠號 139



↓連線網路磁碟機: 直接把 10.0.0.1 當成一般 Windows 分享電腦即可




後記:

若遭防火牆擋 22 port, 可將 ssh server 改成 80 port
若要防止公司內部人員使用 PuTTY + ssh 通道搞怪, 可於 Linux NAT + Layer 7 防火牆 擋掉 ssh 通訊協定:
iptables -A FORWARD -m layer7 --l7proto ssh -j DROP
參考資料:

PuTTY 的應用 -- proxy
Breaking Firewalls with OpenSSH and PuTTY
如何利用SSH隧道穿越你的企业级防火墙
只需HK$500就可以突破公司防火牆
命令列下的MSN - pebrot