SSH流量秒变HTTPS —— 筑梦之路

背景说明

很多时候对外开放仅有80 443端口,若想要ssh服务器是比较困难的。这里介绍使用openssl+HAProxy绕过限制。

解决思路

把SSH流量伪装成HTTPS流量,从443端口传输。

  1. OpenSSL: 一个强大的开源加密工具包,我们用它来给SSH流量加密,让它看起来像HTTPS。

  2. HAProxy: 一个高性能的负载均衡器,我们用它来接收和转发流量

实现步骤

1. 安装openssl haproxy(略)

2. HAProxy配置

bash 复制代码
cat /etc/haproxy/haproxy.cfg

frontend fe_ssh
    bind *:443 ssl crt /etc/haproxy/certs/ssl.pem
    mode tcp
    tcp-request content set-var(sess.dst) ssl_fc_sni
    use_backend %[ssl_fc_sni]

backend server1
    mode tcp
    server s1 192.168.10.200:22 check

------------------------------------------

frontend fe_ssh: 定义了一个前端服务,名为fe_ssh。
bind *:443 ssl crt /etc/haproxy/certs/ssl.pem: HAProxy监听443端口,并使用指定的SSL证书。
mode tcp: 使用TCP模式,因为SSH是基于TCP的。
tcp-request content set-var(sess.dst) ssl_fc_sni: 保存SNI(服务器名称指示)信息到一个会话变量中。
use_backend %[ssl_fc_sni]: 根据SNI信息选择后端服务器。
backend server1: 定义了一个后端服务,名为server1。
server s1 192.168.10.200:22 check: 指定后端SSH服务器的IP和端口

3. SSL证书生成

bash 复制代码
sudo mkdir -p /etc/haproxy/certs
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/haproxy/certs/ssl.pem -out /etc/haproxy/certs/ssl.pem

4. 启动服务并验证

bash 复制代码
systemctl restart haproxy

systemctl status haproxy

# 客户端连接

ssh -o ProxyCommand="openssl s_client -quiet -connect 172.16.0.10:443 -servername server1" dummyName1@172.16.0.10

-------------------------

-o ProxyCommand: 这个选项允许我们指定一个命令来建立连接。
openssl s_client: 使用OpenSSL建立一个SSL/TLS连接。
-quiet: 减少输出信息。
-connect 172.16.0.10:443: 指定HAProxy服务器的地址和端口。
-servername server1: 指定SNI,必须与HAProxy配置中的后端名称匹配。
dummyName1@172.16.0.10: SSH的用户名和服务器地址。

工作原理

  1. 当你执行这个SSH命令时,OpenSSL首先建立一个到HAProxy的SSL连接。

  2. HAProxy接收到连接后,根据SNI信息(server1)选择对应的后端。

  3. HAProxy将流量转发到实际的SSH服务器。

  4. 整个过程中,SSH流量被包裹在SSL中,看起来就像普通的HTTPS流量

其他

安全考虑

虽然这个方法很酷,但请记住以下几点:

  1. 在使用前,一定要了解你所在环境的IT政策。未经允许绕过网络限制可能会带来严重后果。

  2. 这个方法主要是为了在合法和被允许的情况下使用。

  3. 使用自签名证书可能会带来安全风险,在生产环境中最好使用受信任的CA签发的证书。

  4. 定期更新和维护你的OpenSSL和HAProxy,以修复潜在的安全漏洞

故障排查

如果连接失败,可以尝试以下步骤:

  1. 检查HAProxy日志(/var/log/haproxy.log)以获取更多信息。

  2. 确保防火墙允许443端口的入站流量。

  3. 使用tcpdump或Wireshark抓包分析,查看流量是否正确到达HAProxy

相关推荐
鹧鸪云光伏与储能软件开发1 分钟前
投资储能项目能赚多少钱?小程序帮你测算
运维·数据库·小程序·光伏·光伏设计软件·光伏设计
群联云防护小杜2 分钟前
服务器异常磁盘写排查手册 · 已删除文件句柄篇
运维·服务器·nginx·开源·lua
buyutang_5 分钟前
C/C++ Linux系统编程:线程控制详解,从线程创建到线程终止
linux·c语言·c++·学习
云的牧人18 分钟前
Ubuntu 22 redis集群搭建
linux·运维·ubuntu
siriuuus27 分钟前
Linux 磁盘扩容及分区相关操作实践
linux·运维·服务器
会飞的小蛮猪39 分钟前
Jenkins运维之路(权限分配&忘记admin密码)
java·运维·经验分享·jenkins·prometheus
To_再飞行1 小时前
K8s 存储配置资源
linux·云原生·容器·kubernetes
小猪写代码1 小时前
Ubuntu 文件权限管理
linux·ubuntu
jz_ddk1 小时前
[Linux] Linux标准块设备驱动详解:从原理到实现
linux·运维·服务器·驱动开发
维尔切1 小时前
自动化运维-ansible中对于大项目的管理
运维·自动化·ansible