ネプラスのテックブログ。ネットワーク、クラウド、サーバなどのITインフラ情報を中心に発信中。

  1. ネプラス インフラエンジニア採用
  2. テックマガジン
  3. サーバー
  4. ローカルネットワーク間のSSHログインにおけるポートフォワードの使い方を紹介します!

ローカルネットワーク間のSSHログインにおけるポートフォワードの使い方を紹介します!

  • サーバー
  • セキュリティ
  • テクノロジー
公開日時:   更新日時:
ローカルネットワーク間のSSHログインにおけるポートフォワードの使い方を紹介します!
この記事でわかること
    基本情報技術者試験の試験対策はこちら>>

    ポートフォワードとは?


    SSHのポートフォワード機能とは特定のポートのデータ通信を他のポートへ転送することです。この機能によってVPNが設置されていない内部ネットワーク間での通信などが可能になります。なお今回は公開鍵認証でクライアントの認証をします。

    ここで出てくる端末のアドレスはグローバルやプライベートアドレスを問わず端末AならaddrA, 端末XならaddrXとします。

    ポート番号はそのプロトコルでデフォルトのポート番号を使い、ユーザーが指定するポート番号は他のサービスと重複しないものを選び、この説明では5桁の番号を使います。

    ローカルポートフォワードを使ってみる

    ここでローカル端末A(ネットワークには繋がり、AUserの秘密鍵を持っている)からAUserとしてインターネットで到達可能な端末X(端末Xではユーザー名AUserとAUserの公開鍵が登録してある)があります。

    またXと同じネットワークで端末Aからインターネットで直接アクセスできない端末Yがあります。端末Aから端末Yにポートフォワードを使ってログインすることを考えます。

    SSHで端末Yにログインする

    端末Aから端末XにSSHログインする

     

    端末Aから端末Y(ユーザー名AUserとAUserの公開鍵が登録されていてSSHサーバが稼働している)にログインする

    端末Aから

    端末Aから端末Yに別のユーザーとしてログインする

    今度は端末Aから端末Yにユーザー名BUserとしてログインします(端末AはBUserの秘密鍵を持っていて、また端末Yにはユーザー名BUserとBUserの公開鍵も登録されている)。

     

    端末Aから

    端末Yから内部ネットワークに公開されているWebコンテンツを見る

    端末Aから

     

    ブラウザを起動してURL http://127.0.0.1:10080を開きます。なおこの通信においてSSHで暗号化されるのは端末Aと端末Xの間で、ポートフォワードされる端末Xと端末Yの間は暗号化されていません。

    端末YのMySQLサーバと通信する

    まず端末AにMySQLクライアントがインストールされている必要があります。端末Yで稼働するMySQLサーバでのユーザー名はAUserMy、パスワードはAUserPassとします。

    端末Aから

     

    端末AからMySQLを起動する

    端末YのGUI画面を使う(X11フォワーディング)

    Linuxなどで使用されているGUI画面を端末Aから使います。

     

    WindowsやMac、Linux等で使うことができます。サーバ、クライアントの設定や必要なライブラリなどの準備が必要なので確認してください。

    ポートフォワードの実践的な活用方法

    ここでは、ローカルネットワーク間のSSHログインにおけるポートフォワードの使い方を説明します。また、それに伴う複数回のSSHログインする際の鍵の管理方法およびダイナミックフォワードについても紹介します。

    ここで出てくるAUserはSSHでログインするそれぞれの端末にユーザー名がAUserとして登録されているものとします。

    これまでは通信先がネットワークを介して繋がる端末でしたが、今度はポートフォワードを活用してローカルネットワーク内やファイヤーウォールなどによって外部からアクセスできない端末とSSHによって通信します。

    ローカルネットワーク間で通信する

    SSHクライアントもSSHサーバの属するネットワークもいずれもインターネットからアクセス可能なグローバルIPアドレスを持っていない場合を考えます。ここでインターネット上にグローバルIPアドレスを持つ端末P(中継サーバ)を用意します。

    ここで端末Xと端末Yは同一のネットワークで、端末A、端末X、端末Yいずれもインターネットには繋がりますがインターネットからはアクセスできません。SSHのリモートフォワードを使って端末Aから端末Pを経由してさらに端末Xを経由して端末Yにログインします。

    リモートフォワーディングとは

    まず端末Xから端末Pを繋ぎます。端末Pのポート10022からaddrXへポートフォワードしています。

     

    次に端末Aから端末PにSSHでログインします

     

    ここでログイン中の端末Pから

     

    このようにすると端末Pから端末XのSSHサーバにログインすることができます。このようなポートフォワードをリモートフォワードと呼びます。最後に端末XのSSHから端末YのSSHにログインします。

    以上のようにして端末Aから端末Pを経由して端末Xから端末YのSSHサーバに順次ログインすることができます。端末P、端末X、 端末YにはSSHサーバが稼働している必要があります。

    適切に鍵を配置するには

    上の例のように複数回SSHサーバを経由した通信が行われていますが、インターネット上の端末Pに端末Xにログインするための秘密鍵を配置するのはセキュリティー上のリスクがあります。

    そこで秘密鍵は端末Aで一括して管理することにします。しかし問題があります。なぜならこのままではログイン先のSSHサーバからでは次のログイン先の秘密鍵が参照できないからです。この問題を解決するため端末Aに置かれた秘密鍵にssh-agentコマンドを実行します。

    ssh-agentコマンドで秘密鍵を登録する

    端末Aから

     

    端末Pおよび端末XのSSHサーバを設定します。端末Pと端末Xの/etc/ssh/sshd_configファイルの#AllowAgentForwarding yesをコメントアウトします。

    Agent Forwardingによってログインする

    先程の例では端末Aから

     

    本来現在ログイン中の端末上に秘密鍵が無い場合は次のSSH接続ができませんがAgent Fowarding機能によって端末Aに置かれた秘密鍵がSSH接続先の端末に転送されます。

    ssh-agentによって登録されたSSHの秘密鍵は、ユーザー名と接続するホストに応じて適切な秘密鍵を接続の際に注入します。

    コマンドオプションを書かないでSSHを使う

    コマンドをSSH接続の度に入力するのは面倒で記述が煩雑になりがちです。SSH接続元の自端末のホームディレクトリ.ssh/configにSSH接続設定を書き込みます。上記の例を示します。

    ダイナミックフォワードとは

    これまでに説明したポートフォワードでは、WEBサーバなどに接続する際、ホストが変わるごとにまた新たにポートを割り当てる必要がありました。さらに、サイト内のリンクが絶対パスで書かれていた場合リンク先に移らなかったり不便な点があります。

    そこでSOCKSパケットでカプセル化されたパケットをSSHサーバに中継しポートフォワードします。接続先のポートと一対一での通信ではないので接続先のホストやポートが変わってもブラウザなどで普段通りに通信できます。

    SSHクライアントをSOCKSプロキシにする

    端末Aからインターネットで繋がる端末XとXと同じネットワークでインターネットからはアクセスできない2台の端末Yと端末Zに置かれているWEBコンテンツを閲覧します。端末Aから

    端末AのブラウザやFTPクライアントのプロキシの設定画面を開きSOCKS HOSTをlocalhostと入力します。またポート番号を1080と入力してプロキシのDSNを使う、をチェックします。

    SOCKSでカプセル化された通信

    このようにしてブラウザを開くとSOCKSでカプセル化された端末Aからの通信はSSHで端末Xに中継され、内部の端末Yと端末ZのWEBコンテンツをポート番号を追加することなく普段のWEBと同じように閲覧することができます。

    また端末Xの属するネットワークで使われているDNSを参照してインターネットに繋げることもできます。

    さらに、WEBに限らずファイル転送やメールなど、使用するアプリケーションがSOCKSに対応していればダイナミックフォワードを利用することも可能です。

    ダイナミックフォワードを応用する

    次は端末Pがインターネットからアクセス可能なグローバルIPアドレスを持っていて、端末Xはローカルネットワーク内でインターネットには繋がりますが、インターネットからはアクセスできません。

    端末Xと同じネットワークに存在する端末Yと端末ZのWEBコンテンツを端末Pから見ることを考えます。端末Pと端末XにはSSHサーバが稼働しています。

    端末PからSOCKSパケットを端末XまでSSH接続させ前項のダイナミックフォワーディングを実現します。

    ローカルネットワーク上のサーバをダイナミックフォワードで繋ぐ

    まず端末Xから

     

    端末Pから

    アプリケーションが対応していればSOCKSプロキシを設定することによりブラウザなどで普段と同じように通信ができます。

    端末PのブラウザやFTPクライアントなどのプロキシの設定画面を開きSOCKS HOSTをlocalhostと入力します。またポート番号を10022と入力してプロキシのDSNを使うをチェックします。

    まとめ

    本記事に出てきたコマンド以外にも多数のSSHコマンドが存在する為、自分の端末のman ssh・・コマンドをお読みください(和訳は相当に古いので)。

    SSHは便利で強力ですが、大規模で継続的なセキュリティー対策が求められる場合はVPNの利用を検討することをおすすめします。

    FEnetを運営しているネプラス株式会社はサービス開始から10年以上
    『エンジニアの生涯価値の向上』をミッションに掲げ、
    多くのインフラエンジニア・ネットワークエンジニアの就業を支援してきました。
    ネプラス株式会社ロゴ

    ネプラス株式会社はこんな会社です

    秋葉原オフィスにはネプラス株式会社をはじめグループのIT企業が集結!
    数多くのエンジニアが集まります。

    秋葉原オフィスイメージ
    • インフラ業界に特化

      インフラ業界に特化

      ネットワーク・サーバー・データベース等、ITインフラ業界に特化。Cisco Systemsプレミアパートナーをはじめ各種ベンダーのパートナー企業です。

      業界を知り尽くしているからこそ大手の取引先企業、経験豊富なエンジニアに選ばれています。

    • 正社員なのにフリーランスのような働き方

      正社員なのにフリーランスのような働き方

      正社員の方でも希望を聞いたうえでプロジェクトをアサインさせていただいており、フリーランスのような働き方が可能。帰社日もありません。

      プロジェクト終了後もすぐに次の案件をご紹介させていただきますのでご安心ください。

    • 大手直取引の高額案件

      大手直取引の高額案件

      案件のほとんどが大手SIerやエンドユーザーからの直取引のためエンジニアの皆様へに高く還元できています。

      Ciscoをはじめ、Juniper、Azure、Linux、AWS等インフラに特化した常時300件以上の案件があります。

    • スキルアップ支援

      スキルアップ支援

      不要なコストを削減し、その分エンジニアの方へのスキルアップ支援(ネットワーク機器貸出、合格時の受験費用支給など)や給与で還元しています。

      受験費用例)CCNP,CCIE:6-20万円、JNCIS:3-4万円、AWS:1-3万円など

      ※業務に関連する一定の資格のみ。各種条件がありますので詳しくは担当者へにお尋ねください。

    • 現給与を保証します!

      100%現給与保証

      前職の給与保証しており、昨年度は100%の方が給与アップを実現。収入面の不安がある方でも安心して入社していただけます。

      ※適用にはインフラエンジニアの業務経験1年以上、等一定の条件がございます。

    • インセンティブ制度

      インセンティブ制度

      ネットワーク機器の販売・レンタル事業等、売上に貢献いただいた方にはインセンティブをお支払いしています。

      取引先企業とエンジニア側、双方にメリットがあり大変好評をいただいています。

    • 社会保険・福利厚生

      社会保険・福利厚生

      社員の方は、社会保険を完備。健康保険は業界内で最も評価の高い「関東ITソフトウェア健康保険組合」です。

      さらに様々なサービスをお得に利用できるベネフィットステーションにも加入いただきます。

    • 東証プライム上場企業グループ

      東証プライム上場企業グループ

      ネプラスは東証プライム上場「株式会社夢真ビーネックスグループ」のグループ企業です。

      安定した経営基盤とグループ間のスムーズな連携でコロナ禍でも安定した雇用を実現させています。

    ネプラス株式会社に興味を持った方へ

    ネプラス株式会社では、インフラエンジニアを募集しています。

    年収をアップしたい!スキルアップしたい!大手の上流案件にチャレンジしたい!
    オンライン面接も随時受付中。ぜひお気軽にご応募ください。

    ネプラス株式会社へのご応募はこちら↓
    ネプラス株式会社へのご応募はこちら↓

    新着案件New Job