SSH流量秒变HTTPS —— 筑梦之路

背景说明

很多时候对外开放仅有80 443端口,若想要ssh服务器是比较困难的。这里介绍使用openssl+HAProxy绕过限制。

解决思路

把SSH流量伪装成HTTPS流量,从443端口传输。

  1. OpenSSL: 一个强大的开源加密工具包,我们用它来给SSH流量加密,让它看起来像HTTPS。

  2. HAProxy: 一个高性能的负载均衡器,我们用它来接收和转发流量

实现步骤

1. 安装openssl haproxy(略)

2. HAProxy配置

bash 复制代码
cat /etc/haproxy/haproxy.cfg

frontend fe_ssh
    bind *:443 ssl crt /etc/haproxy/certs/ssl.pem
    mode tcp
    tcp-request content set-var(sess.dst) ssl_fc_sni
    use_backend %[ssl_fc_sni]

backend server1
    mode tcp
    server s1 192.168.10.200:22 check

------------------------------------------

frontend fe_ssh: 定义了一个前端服务,名为fe_ssh。
bind *:443 ssl crt /etc/haproxy/certs/ssl.pem: HAProxy监听443端口,并使用指定的SSL证书。
mode tcp: 使用TCP模式,因为SSH是基于TCP的。
tcp-request content set-var(sess.dst) ssl_fc_sni: 保存SNI(服务器名称指示)信息到一个会话变量中。
use_backend %[ssl_fc_sni]: 根据SNI信息选择后端服务器。
backend server1: 定义了一个后端服务,名为server1。
server s1 192.168.10.200:22 check: 指定后端SSH服务器的IP和端口

3. SSL证书生成

bash 复制代码
sudo mkdir -p /etc/haproxy/certs
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/haproxy/certs/ssl.pem -out /etc/haproxy/certs/ssl.pem

4. 启动服务并验证

bash 复制代码
systemctl restart haproxy

systemctl status haproxy

# 客户端连接

ssh -o ProxyCommand="openssl s_client -quiet -connect 172.16.0.10:443 -servername server1" dummyName1@172.16.0.10

-------------------------

-o ProxyCommand: 这个选项允许我们指定一个命令来建立连接。
openssl s_client: 使用OpenSSL建立一个SSL/TLS连接。
-quiet: 减少输出信息。
-connect 172.16.0.10:443: 指定HAProxy服务器的地址和端口。
-servername server1: 指定SNI,必须与HAProxy配置中的后端名称匹配。
dummyName1@172.16.0.10: SSH的用户名和服务器地址。

工作原理

  1. 当你执行这个SSH命令时,OpenSSL首先建立一个到HAProxy的SSL连接。

  2. HAProxy接收到连接后,根据SNI信息(server1)选择对应的后端。

  3. HAProxy将流量转发到实际的SSH服务器。

  4. 整个过程中,SSH流量被包裹在SSL中,看起来就像普通的HTTPS流量

其他

安全考虑

虽然这个方法很酷,但请记住以下几点:

  1. 在使用前,一定要了解你所在环境的IT政策。未经允许绕过网络限制可能会带来严重后果。

  2. 这个方法主要是为了在合法和被允许的情况下使用。

  3. 使用自签名证书可能会带来安全风险,在生产环境中最好使用受信任的CA签发的证书。

  4. 定期更新和维护你的OpenSSL和HAProxy,以修复潜在的安全漏洞

故障排查

如果连接失败,可以尝试以下步骤:

  1. 检查HAProxy日志(/var/log/haproxy.log)以获取更多信息。

  2. 确保防火墙允许443端口的入站流量。

  3. 使用tcpdump或Wireshark抓包分析,查看流量是否正确到达HAProxy

相关推荐
Creeper_exe10 分钟前
RHCE http作业
linux·http
白-胖-子40 分钟前
【原创分享】详述中间件的前世今生
运维·中间件·java-ee·jdk
Johny_Zhao1 小时前
Centos7系统docker部署Ferry工单系统
linux·工单系统·ferry
库克库伯电气1 小时前
变压器没有做电容补偿还能带同样的负荷吗
运维·服务器·单片机·嵌入式硬件·物联网
ITenderL2 小时前
Linux常用命令总结
linux·常用命令
Ljw...2 小时前
进程信号
linux·进程信号
昨天今天明天好多天2 小时前
【Linux】Kafka部署
linux·运维·kafka
b哈利路亚d2 小时前
使用ubuntu On windows安装docker
运维·docker·容器
梅秃头2 小时前
CentOS 8修改Linux配置文件指定属性的值
linux·运维·服务器
一个小坑货2 小时前
CentOS9 Stream上安装Edge浏览器
linux·centos