Aby połączyć się z izolowaną siecią, używam proxy ssh -D
socks .
Aby uniknąć konieczności wpisywania szczegółów za każdym razem, gdy dodawałem je do ~/.ssh/config
:
$ awk '/Host socks-proxy/' RS= ~/.ssh/config
Host socks-proxy
Hostname pcit
BatchMode yes
RequestTTY no
Compression yes
DynamicForward localhost:9118
Następnie utworzyłem plik definicji jednostki serwisowej użytkownika systemd :
$ cat ~/.config/systemd/user/SocksProxy.service
[Unit]
Description=SocksProxy Over Bridge Host
[Service]
ExecStart=/usr/bin/ssh -Nk socks-proxy
[Install]
WantedBy=default.target
Pozwoliłem demonowi ponownie załadować nowe definicje usługi, włączyłem nową usługę, uruchomiłem ją, sprawdziłem jej status i zweryfikowałem, że nasłuchuje:
$ systemctl --user daemon-reload
$ systemctl --user list-unit-files | grep SocksP
SocksProxy.service disabled
$ systemctl --user enable SocksProxy.service
Created symlink from ~/.config/systemd/user/default.target.wants/SocksProxy.service to ~/.config/systemd/user/SocksProxy.service.
$ systemctl --user start SocksProxy.service
$ systemctl --user status SocksProxy.service
● SocksProxy.service - SocksProxy Over Bridge Host
Loaded: loaded (/home/alex/.config/systemd/user/SocksProxy.service; enabled)
Active: active (running) since Thu 2017-08-03 10:45:29 CEST; 2s ago
Main PID: 26490 (ssh)
CGroup: /user.slice/user-1000.slice/user@1000.service/SocksProxy.service
└─26490 /usr/bin/ssh -Nk socks-proxy
$ netstat -tnlp | grep 118
tcp 0 0 127.0.0.1:9118 0.0.0.0:* LISTEN
tcp6 0 0 ::1:9118 :::* LISTEN
Działa to zgodnie z przeznaczeniem. Następnie chciałem uniknąć konieczności ręcznego uruchamiania usługi lub ciągłego uruchamiania jej z autossh , używając systemowej aktywacji gniazd do (ponownego) odradzania na żądanie. To nie działało, myślę, że (moja wersja) ssh
nie może odbierać deskryptorów plików gniazd.
Znalazłem dokumentację ( 1 , 2 ) i przykład użycia systemd-socket-proxyd
-tool do utworzenia 2 usług „otoki”, „usługi” i „gniazda”:
$ cat ~/.config/systemd/user/SocksProxyHelper.socket
[Unit]
Description=On Demand Socks proxy into Work
[Socket]
ListenStream=8118
#BindToDevice=lo
#Accept=yes
[Install]
WantedBy=sockets.target
$ cat ~/.config/systemd/user/SocksProxyHelper.service
[Unit]
Description=On demand Work Socks tunnel
After=network.target SocksProxyHelper.socket
Requires=SocksProxyHelper.socket SocksProxy.service
After=SocksProxy.service
[Service]
#Type=simple
#Accept=false
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:9118
TimeoutStopSec=5
[Install]
WantedBy=multi-user.target
$ systemctl --user daemon-reload
To wydaje się działać, dopóki nie ssh
umrze lub nie zostanie zabity. Wtedy nie odrodzi się przy kolejnej próbie połączenia, kiedy powinna.
Pytania:
- Czy / usr / bin / ssh naprawdę nie akceptuje gniazd przekazywanych przez system? Czy tylko nowsze wersje? Mój jest tym z wersji Debian 8.9 .
- Czy tylko jednostki root mogą korzystać z tej
BindTodevice
opcji? - Dlaczego moja usługa proxy nie odradza się poprawnie przy pierwszym nowym połączeniu po śmierci starego tunelu?
- Czy to właściwy sposób na skonfigurowanie „proxy proxy socks na żądanie”? Jeśli nie, jak to robisz?
autossh
.
autossh
powinien zająć się ponownym połączeniem w przypadku awarii połączenia (choć nie jest to sposób systemowy).