我需要透過 SSH 連線到具有 IP 白名單作為存取控制一部分的客戶端伺服器。我沒有靜態 IP - 有時我在家工作,有時在圖書館,有時在咖啡店等。如果我在度假,並且遠端同事必須連接到白名單伺服器,他們將如何進入(假設他們有憑證)?
這是否涉及透過 VPN 設定和連接?或代理伺服器?
我正在尋找解決方案及其工作原理的解釋。
更詳細一點:這裡似乎有幾個選項,也許這就是我感到困惑的地方。
- 設定並連接到 VPN,然後我的 ssh 請求將通過那裡路由。伺服器會將我的 IP 視為 VPN 閘道的 IP(這是正確的術語嗎?)
- 設定一個伺服器,然後通過 ssh 進入該伺服器,然後從那裡通過 ssh 進入最終伺服器。這並不理想,因為我必須將檔案移到中間伺服器,然後再移動到主伺服器。
- 設定伺服器,並使用連接埠轉送作為傳遞。
我不清楚這些方法的優缺點。網路上搜尋沒有解釋,所以我在這裡問。不僅是為了解決方案,也是為了解釋。
答案1
如果我正確地理解了您的問題,您需要一個靜態 IP 位址,無論您走到哪裡,它都會跟隨您。如果這是正確的,那麼答案是你不能直接這樣做。
您可以做的一件事是讓您的遠端伺服器也充當 VPN 伺服器。然後,您可以在它和您的工作站之間建立 VPN,並透過列入白名單的 VPN IP 位址進行連線。
如何設定 VPN(在某種程度上)取決於所涉及的作業系統(您沒有提及),對於本問答網站的範圍來說太大了。關於這個主題有很多很好的教學。
答案2
Amazon EC2 為您提供 5彈性IP位址。您還可以從虛擬專用伺服器 (VPS) 進行連接,您可以從 Digital Ocean 購買一台,每月只需幾美元,並且它將具有靜態 IP 位址。您可以從任何地方透過 SSH 連接到這些伺服器,然後連接到您的客戶端伺服器。
答案3
你可以做SSH 連接埠隧道。
為此,您需要擁有一台始終連接到互聯網的電腦。希望這台機器始終具有相同的 IP 位址(因為它會一直更新其 IP 租約),但如果有時這台機器無法回應您的請求,您可以向您的 ISP 詢問靜態 IP(需額外付費) 。這台機器實際上將充當您的代理。這可能是您的家用計算機。您可以重新利用現有的任何 Pentium 機器來實現此用途。
在這台「代理」機器上,您可以透過將所有請求轉送到連接埠(例如,將 50505 轉送到「客戶端伺服器」上的連接埠 22)來使用 PuTTY 設定 SSH 連接埠隧道。看一看:
。複選框很重要並且需要被選中。
接受需要完成的任何防火牆變更:
然後,當您不在「始終在線」的計算機旁(例如在圖書館)時,您將啟動其SSH 用戶端並連接到「始終在線」的計算機,但連接到連接埠50505。伺服器」的憑證「計算機,您將被表示為就好像您實際上是那台計算機一樣。
由於我在這些問題上很新手,我希望我在這裡沒有犯任何錯誤,但我認為你可以擺脫這個解決方案。
答案4
靜態 IP 由擁有該 IP 範圍的組織(在本例中為您的 ISP)指派給特定的 Internet 連線。您可以將靜態 IP 新增至家庭網路連接,遠端存取那裡的電腦(SSH、RDP 或您喜歡的任何內容),然後透過 SSH 存取用戶端伺服器。