ssh a private-ip

Tengo una computadora con CentOS (computadora A) que tiene una IP privada 10.150.5.141 (con firewall restringido), puede acceder a Internet y mi ArchLinux VPS (computadora B) con ip real wxyz

¿Cómo puedo hacer que otra computadora (computadora C) pueda acceder a la computadora B para conectarse a la computadora A, pero la computadora C no puede conectarse a la computadora A directamente (porque está en la red privada de A)?

Sé que un túnel puede abrir puertos locales a otra computadora: puerto, pero ¿cómo hacer lo contrario?

Quiero acceder a la computadora A usando la sshcomputadora B pero la computadora B no puede acceder a la computadora A, porque la red en la computadora A es restrictiva (puede salir, pero no puede entrar, porque no tengo acceso a su enrutador)

Quiero algo como esto:

ssh -connect-to w.x.y.z:22 -open-port vvv -forward-to 10.150.5.141 -port 22

para que cuando yo ssh w.x.y.z:vvvdesde la computadora C se reenvíe a la red privada 10.150.5.141:22.

Lo que estás buscando se llama túnel inverso. sshlo proporciona a través del -Rinterruptor:

-R [bind_address:]port:host:hostport
       Specifies that the given port on the remote (server) host is to 
       be forwarded to the given host and port on the local side.  This 
       works by allocating a socket to listen to port on the remote side, 
       and whenever a connection is made to this port, the connection is
       forwarded over the secure channel, and a connection is made to host 
       port hostport from the local machine.

Como el OP descubrió con su respuesta, la sintaxis es la siguiente:

$ ssh -f -N -R vvv:localhost:22 w.x.y.z

Ejemplo

Tengo 2 computadoras en la red, lappyy remotey. Entonces ejecuto el siguiente comando en lappy:

$ ssh -f -N -R 12345:localhost:22 remotey

Puedo confirmar que está funcionando:

$ ps -eaf|grep "[l]ocalhost:22"
saml     27685     1  0 11:10 ?        00:00:00 ssh -f -N -R 12345:localhost:22 remotey

Ahora, si me dirijo por sshseparado al sistema remoto remoteyy ejecuto este comando, puedo ver que ahora está aceptando conexiones en el puerto 12345 en la interfaz local del sistema remoto:

$ netstat -an|grep :12345
tcp        0      0 127.0.0.1:12345             0.0.0.0:*                   LISTEN      
tcp        0      0 ::1:12345                   :::*                        LISTEN      

Probar la conexión

Puede ver que el túnel ssh inverso funciona de la siguiente manera.

1. iniciar sesión en remotey

   [user@lappy ~]$ ssh remotey
   

2. probar el puerto de túnel inverso

   [user@remotey ~]$ ssh -p 12345 localhost
   

3. ahora debería estar de vuelta en lappy

   user@localhost's password: 
   Last login: Thu Aug  1 17:53:54 2013
   /usr/bin/xauth:  creating new authority file /home/user/.Xauthority
   [user@lappy ~]$ 
   

¿Puertos en interfaces que no sean localhost ( lo)?

Es posible que se quede rascándose la cabeza si prueba un comando como este y no parece funcionar, o siempre se vincula a un puerto en la lointerfaz localhost ( ).

Por ejemplo:

lappy$ ssh -f -N -R remotey:12345:lappy:22 remotey

NOTA: Este comando dice abrir el puerto 12345 @ remotey y hacer un túnel de las conexiones al puerto 22 @ lappy.

Luego en remoto:

remotey$ netstat -an|grep 12345
tcp        0      0 127.0.0.1:12345              0.0.0.0:*                   LISTEN   

Lo que está sucediendo es que sshdlas configuraciones no le permiten hacer esto. De hecho, sin esta función habilitada ( GatewayPorts), no podrá vincular ningún sshpuerto de túnel a otra cosa que no sea localhost.

Habilitar GatewayPorts

remotey$ grep GatewayPorts /etc/ssh/sshd_config
#GatewayPorts no

Para habilitarlo, edite este archivo /etc/ssh/sshd_config:

GatewayPorts clientspecified

Y reiniciar sshd:

remotey$ sudo service sshd restart

Ahora inténtalo de nuevo y deberíamos ver el efecto que buscamos:

lappy$ ssh -f -N -R remotey:12345:lappy:22 remotey

Y vuelva a verificarlo esta vez en forma remota:

remotey$ netstat -anp | grep 12345
tcp        0      0 192.168.1.3:12345           0.0.0.0:*                   LISTEN      9333/sshd

NOTA: En lo anterior podemos ver que el sshdproceso ahora está escuchando en la interfaz que tiene la dirección IP 192.168.1.3, para conexiones en el puerto 12345.

Probar la conexión (parte deux)

Ahora con nuestra configuración alterada cuando la probamos esta vez. ¡La diferencia principal es que ya no tenemos que conectarnos a localhost!

1. iniciar sesión en remotey

   [user@lappy ~]$ ssh remotey
   

2. probar la conexión inversa

   [user@remotey ~]$ ssh -p 12345 remotey
   

3. ahora debería estar de vuelta en lappy

   root@remotey's password: 
   Last login: Wed Aug 21 01:49:10 2013 from remotey
   [user@lappy ~]$ 
   

Referencias

• Cómo hacer un túnel SSH inverso
• SSH / OpenSSH / PortForwarding
• túnel ssh a través de múltiples saltos
• ¿Cómo funciona el túnel de SSH inverso?
• ssh todo el tiempo
• Invertir una conexión ssh
• encadenamiento de túneles ssh
• Ejemplo: Crear un túnel SSH dentro de una cadena de túneles SSH
• Sin pasar por el firewall corporativo con reenvío de puerto ssh inverso
• Túnel de puerto inverso

Como la computadora B no puede acceder a la computadora A, primero deberá abrir un túnel remoto desde la computadora A.

ssh user@computerB -R vvv:localhost:22

no importa, encontré la respuesta:

ssh -f -N -R vvv:localhost:22 w.x.y.z

desde la computadora A

EDITAR: TL; DR, solución correcta:

ssh -f -N -R w.x.y.z:vvv:localhost:22 w.x.y.z