Les variables de cette page :

• $ip_ecoute : IP d'écoute pour le port (falcutatif, par défaut localhost)
• $port_entrer : Port d'entré pour joindre le $port_local
• $host : host que l’émetteur du port va joindre
• $port_local : Port d'écoute du port à joindre

En gros, une fois le tunnel mis en place, l'host ayant accès au port devra joindre $ip_ecoute sur le $port_entre afin de joindre $host sur le $port_local

Ce mode permet de donner accès à un host distant l'accès a un port d'un host qu'il a accès

# ssh -R $ip_ecoute:$port_entrer:$host:$port_local root@hostname

Je veux que quelqu'un puisse se connecter à ma machine par SSH mais je ne veux/peux pas modifier mon firewall pour faire du NAT sur mon port 22 alors que lui par contre l'a fait.

Je vais donc forward mon port SSH (22) dans un tunnel SSH grâce a la commande :

# ssh -R 2222:localhost:22 root@XXX.XXX.XXX.XXX

Il devra donc se connecter sur le port 2222 pour joindre ma machine sur le port 22

Attention, pour autoriser l'écoute sur une IP autre que la loopback, il faut ajouter la ligne suivante dans le fichier /etc/ssh/sshd_config :

GatewayPorts clientspecified

Puis redémarrer le service sshd.

Cela permet d'accéder à un port distant via la machine distante

# ssh -L $port_entrer:$host:$port_local root@hostname

Je souhaite accéder a un serveur par RDP mais pas de NAT n'est fait vers lui, mais il y a du NAT vers le SSH d'un serveur linux qui est dans le même réseau (10.10.0.0/24), je vais donc faire du RDP vers le serveur Windows en passant dans un tunnel SSH grâce à la commande :

# ssh -L 3389:10.10.0.2:3389 root@XXX.XXX.XXX.XXX

Il faudra que je me connecte à localhost pour me connecter au serveur Windows

10.10.0.2 étant l'IP du serveur Windows

Cela permet de permettre de faire passer l'intégralité du trafic d'une app ou de la machine via un proxy SOCKS.

# ssh -D $host:$port_local root@hostname

Je souhaite que tout le trafic de mon firefox passe par cette session SSH.
Je lance donc la session :

# ssh -D 5999 root@XXX.XXX.XXX.XXX

Puis de lancer mon Chrome avec la configuration adéquate :

# google-chrome --proxy-server="socks5://127.0.0.1:5999"

Le DNS ne passe pas a travers le proxy

Certains port nécessite que l'utilisateur distant soit root pour pouvoir créer le port forwarding

L' argument -N permet d'indiquer qu'aucune commande ne sera exécuter sur l'host distant et -f met la session SSH en arrière plan. Ces arguments sont utiles si vous voulais lancer ces commandes en arrière plan (au démarrage par exemple)

Il est parfois nécessaire ou plus simple de manipuler la session SSH active, pour cela il est possible d'envoyer une combinaison de touche afin d’effectuer une action. Elle doit toujours être précédé d'un caractère d’échappement (après un appui sur la touche entrée).

Note: Depuis OpenSSH 9.2, il faut l'activer en ajoutant ceci dans votre fichier ~/.ssh/config :

EnableEscapeCommandline yes

Voici les combinaisons possibles :

Les commandes disponibles sont :