背景说明
很多时候对外开放仅有80 443端口,若想要ssh服务器是比较困难的。这里介绍使用openssl+HAProxy绕过限制。
解决思路
把SSH流量伪装成HTTPS流量,从443端口传输。
OpenSSL: 一个强大的开源加密工具包,我们用它来给SSH流量加密,让它看起来像HTTPS。
HAProxy: 一个高性能的负载均衡器,我们用它来接收和转发流量
实现步骤
1. 安装openssl haproxy(略)
2. HAProxy配置
bash
cat /etc/haproxy/haproxy.cfg
frontend fe_ssh
bind *:443 ssl crt /etc/haproxy/certs/ssl.pem
mode tcp
tcp-request content set-var(sess.dst) ssl_fc_sni
use_backend %[ssl_fc_sni]
backend server1
mode tcp
server s1 192.168.10.200:22 check
------------------------------------------
frontend fe_ssh: 定义了一个前端服务,名为fe_ssh。
bind *:443 ssl crt /etc/haproxy/certs/ssl.pem: HAProxy监听443端口,并使用指定的SSL证书。
mode tcp: 使用TCP模式,因为SSH是基于TCP的。
tcp-request content set-var(sess.dst) ssl_fc_sni: 保存SNI(服务器名称指示)信息到一个会话变量中。
use_backend %[ssl_fc_sni]: 根据SNI信息选择后端服务器。
backend server1: 定义了一个后端服务,名为server1。
server s1 192.168.10.200:22 check: 指定后端SSH服务器的IP和端口3. SSL证书生成
bash
sudo mkdir -p /etc/haproxy/certs
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/haproxy/certs/ssl.pem -out /etc/haproxy/certs/ssl.pem4. 启动服务并验证
bash
systemctl restart haproxy
systemctl status haproxy
# 客户端连接
ssh -o ProxyCommand="openssl s_client -quiet -connect 172.16.0.10:443 -servername server1" dummyName1@172.16.0.10
-------------------------
-o ProxyCommand: 这个选项允许我们指定一个命令来建立连接。
openssl s_client: 使用OpenSSL建立一个SSL/TLS连接。
-quiet: 减少输出信息。
-connect 172.16.0.10:443: 指定HAProxy服务器的地址和端口。
-servername server1: 指定SNI,必须与HAProxy配置中的后端名称匹配。
dummyName1@172.16.0.10: SSH的用户名和服务器地址。工作原理
当你执行这个SSH命令时,OpenSSL首先建立一个到HAProxy的SSL连接。
HAProxy接收到连接后,根据SNI信息(
server1)选择对应的后端。HAProxy将流量转发到实际的SSH服务器。
整个过程中,SSH流量被包裹在SSL中,看起来就像普通的HTTPS流量
其他
安全考虑
虽然这个方法很酷,但请记住以下几点:
在使用前,一定要了解你所在环境的IT政策。未经允许绕过网络限制可能会带来严重后果。
这个方法主要是为了在合法和被允许的情况下使用。
使用自签名证书可能会带来安全风险,在生产环境中最好使用受信任的CA签发的证书。
定期更新和维护你的OpenSSL和HAProxy,以修复潜在的安全漏洞
故障排查
如果连接失败,可以尝试以下步骤:
检查HAProxy日志(
/var/log/haproxy.log)以获取更多信息。确保防火墙允许443端口的入站流量。
使用
tcpdump或Wireshark抓包分析,查看流量是否正确到达HAProxy