SSH流量秒变HTTPS —— 筑梦之路

背景说明

很多时候对外开放仅有80 443端口,若想要ssh服务器是比较困难的。这里介绍使用openssl+HAProxy绕过限制。

解决思路

把SSH流量伪装成HTTPS流量,从443端口传输。

  1. OpenSSL: 一个强大的开源加密工具包,我们用它来给SSH流量加密,让它看起来像HTTPS。

  2. HAProxy: 一个高性能的负载均衡器,我们用它来接收和转发流量

实现步骤

1. 安装openssl haproxy(略)

2. HAProxy配置

bash 复制代码
cat /etc/haproxy/haproxy.cfg

frontend fe_ssh
    bind *:443 ssl crt /etc/haproxy/certs/ssl.pem
    mode tcp
    tcp-request content set-var(sess.dst) ssl_fc_sni
    use_backend %[ssl_fc_sni]

backend server1
    mode tcp
    server s1 192.168.10.200:22 check

------------------------------------------

frontend fe_ssh: 定义了一个前端服务,名为fe_ssh。
bind *:443 ssl crt /etc/haproxy/certs/ssl.pem: HAProxy监听443端口,并使用指定的SSL证书。
mode tcp: 使用TCP模式,因为SSH是基于TCP的。
tcp-request content set-var(sess.dst) ssl_fc_sni: 保存SNI(服务器名称指示)信息到一个会话变量中。
use_backend %[ssl_fc_sni]: 根据SNI信息选择后端服务器。
backend server1: 定义了一个后端服务,名为server1。
server s1 192.168.10.200:22 check: 指定后端SSH服务器的IP和端口

3. SSL证书生成

bash 复制代码
sudo mkdir -p /etc/haproxy/certs
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/haproxy/certs/ssl.pem -out /etc/haproxy/certs/ssl.pem

4. 启动服务并验证

bash 复制代码
systemctl restart haproxy

systemctl status haproxy

# 客户端连接

ssh -o ProxyCommand="openssl s_client -quiet -connect 172.16.0.10:443 -servername server1" dummyName1@172.16.0.10

-------------------------

-o ProxyCommand: 这个选项允许我们指定一个命令来建立连接。
openssl s_client: 使用OpenSSL建立一个SSL/TLS连接。
-quiet: 减少输出信息。
-connect 172.16.0.10:443: 指定HAProxy服务器的地址和端口。
-servername server1: 指定SNI,必须与HAProxy配置中的后端名称匹配。
dummyName1@172.16.0.10: SSH的用户名和服务器地址。

工作原理

  1. 当你执行这个SSH命令时,OpenSSL首先建立一个到HAProxy的SSL连接。

  2. HAProxy接收到连接后,根据SNI信息(server1)选择对应的后端。

  3. HAProxy将流量转发到实际的SSH服务器。

  4. 整个过程中,SSH流量被包裹在SSL中,看起来就像普通的HTTPS流量

其他

安全考虑

虽然这个方法很酷,但请记住以下几点:

  1. 在使用前,一定要了解你所在环境的IT政策。未经允许绕过网络限制可能会带来严重后果。

  2. 这个方法主要是为了在合法和被允许的情况下使用。

  3. 使用自签名证书可能会带来安全风险,在生产环境中最好使用受信任的CA签发的证书。

  4. 定期更新和维护你的OpenSSL和HAProxy,以修复潜在的安全漏洞

故障排查

如果连接失败,可以尝试以下步骤:

  1. 检查HAProxy日志(/var/log/haproxy.log)以获取更多信息。

  2. 确保防火墙允许443端口的入站流量。

  3. 使用tcpdump或Wireshark抓包分析,查看流量是否正确到达HAProxy

相关推荐
cominglately15 分钟前
centos单机部署seata
linux·运维·centos
魏 无羡17 分钟前
linux CentOS系统上卸载docker
linux·kubernetes·centos
CircleMouse20 分钟前
Centos7, 使用yum工具,出现 Could not resolve host: mirrorlist.centos.org
linux·运维·服务器·centos
Karoku0661 小时前
【k8s集群应用】kubeadm1.20高可用部署(3master)
运维·docker·云原生·容器·kubernetes
木子Linux1 小时前
【Linux打怪升级记 | 问题01】安装Linux系统忘记设置时区怎么办?3个方法教你回到东八区
linux·运维·服务器·centos·云计算
mit6.8241 小时前
Ubuntu 系统下性能剖析工具: perf
linux·运维·ubuntu
鹏大师运维1 小时前
聊聊开源的虚拟化平台--PVE
linux·开源·虚拟化·虚拟机·pve·存储·nfs
watermelonoops1 小时前
Windows安装Ubuntu,Deepin三系统启动问题(XXX has invalid signature 您需要先加载内核)
linux·运维·ubuntu·deepin
阿甘知识库2 小时前
宝塔面板跨服务器数据同步教程:双机备份零停机
android·运维·服务器·备份·同步·宝塔面板·建站
滴水之功2 小时前
VMware OpenWrt怎么桥接模式联网
linux·openwrt