Как сделать туннель Ssh открытым для публики?

Если вы проверите man-страницу на ssh, то увидите, что синтаксис для -R читается:

-R [_bind\_address_:]_port_:_host_:_hostport_

Когда `bindaddress`_ опущено (как в вашем примере), порт привязан только к интерфейсу обратной связи по циклу. Чтобы сделать его привязанным ко всем интерфейсам, используйте

ssh -R \*:8080:localhost:80 -N root@example.com

или

ssh -R 0.0.0.0:8080:localhost:80 -N root@example.com

или

ssh -R "[::]:8080:localhost:80" -N root@example.com

Первая версия привязывается ко всем интерфейсам по отдельности. Вторая версия создаёт общую привязку только для IPv4, что означает, что порт доступен на всех интерфейсах через IPv4. Третья версия, вероятно, технически эквивалентна первой, но опять же, она создает только одну привязку к ::, что означает, что порт доступен через IPv6 natively и через IPv4 через IPv4-mapped IPv6 addresses (не работает на Windows, OpenBSD).   (Вам нужны кавычки, потому что [::] может быть интерпретирован как глобус в противном случае.)

Обратите внимание, что если вы используете сервер OpenSSH sshd, необходимо включить серверную опцию GatewayPorts (установите значение yes или clientspecified), чтобы это работало (проверьте файл /etc/ssh/sshd_config на сервере). В противном случае (значение по умолчанию для этой опции равно no), сервер всегда будет заставлять порт быть привязанным только к интерфейсу обратного шлейфа.

Редактирование:

-g работает для локальных перенаправляемых портов, но вам нужен обратный/удаленный перенаправляемый порт, который отличается.

Вы хотите это .

По сути, на example.com установите GatewayPorts=clientspecified в /etc/ssh/sshd_config.

— предыдущий (неправильный) ответ —

Используйте опцию -g. Из man-страницы ssh:

-g Allows remote hosts to connect to local forwarded ports.

Вот мой ответ для завершения:

в итоге я использовал ssh -R ... для туннелирования, и вдобавок к этому использовал socat для перенаправления сетевого трафика на 127.0.0.1:

туннель привязан к 127.0.0.1: ssh -R mitm:9999:<my.ip>:8084 me@mitm

socat: mitm$ socat TCP-LISTEN:9090,fork TCP:127.0.0.1:9999

Другой вариант - сделать локальный туннель только поверх этого, но я нахожу, что это много медленнее

mitm$ ssh -L<mitm.ip.address>:9090:localhost:9999 localhost

Вы также можете использовать двойной форвард, если не хотите или можете изменить /etc/ssh/sshd_config.

Сначала переадресация на временный порт (например, 10080) на устройстве с обратным шлейфом на удаленной машине, затем локальная переадресация туда для перенаправления порта 10080 на 80 на всех интерфейсах:

ssh -A -R 10080:localhost_or_machine_from:80 user@remote.tld "ssh -g -N -L 80:localhost:10080 localhost"

Используйте опцию “порты шлюза”.

ssh -g -R REMOTE_PORT:HOST:PORT ...

Для того, чтобы использовать эту опцию, вам, вероятно, нужно добавить “GatewayPorts yes” к /etc/ssh/sshd_config вашего сервера.

Jump hosts - довольно недавнее дополнение к OpenSSH. Для этого требуется доступ SSH к промежуточному, но он должен работать без дополнительной конфигурации.

ssh -J root@example.com remoteuser@localhost -p 8080

Эта команда инструктирует SSH сначала подключиться к root@example.com, а затем, с этой машины, инициировать подключение к порту 8080 на localhost (т.е. порту, который туннелируется с прыгающего хоста на удаленный хост) под именем пользователя remoteuser.

Если вы хотите вставить конфигурацию ~/.ssh/config вместо использования параметров командной строки, вы можете попробовать что-то вроде

Host REMOTE_HOST_NAME RemoteForward \*:8080 127.0.0.1:80

Помните, что брандмауэр удаленного хоста разрешает подключения к 8080, и убедитесь, что опция GatewayPorts в вашей конфигурации /etc/ssh/sshd не установлена на no