Dalla mia macchina, devo connettermi attraverso i nodi A
, B
, e C
, raggiungere target
:
localhost -> A -> B -> C -> target
Macchina A
è configurato per rifiutare X11 Forwarding
quindi suppongo che non dovrei essere in grado di aprire le interfacce grafiche attraverso le connessioni che passano attraverso ssh A
.
Tuttavia, la configurazione ~/.ssh/config
file e aggiungendo ProxyCommand
sta usando netcat
, Sono stato in grado di aprire un'applicazione grafica a target
, semplicemente eseguendo ssh -XY target
. L'installazione in ~/.ssh/config
va come segue:
Host A
Hostname domainA
Host B
Hostname domainB
ProxyCommand ssh A nc %h %p
Host C
Hostname domainC
ProxyCommand ssh B nc %h %p
Host target
Hostname domain-target
ProxyCommand ssh C nc %h %p
La connessione stessa funziona, e io sto molto bene con quello. Succede, però, in realtà non ho capito cosa sta succedendo dietro le tende.
Quando corro ssh -XY target
, cosa succede realmente, e perché è in grado di aprire la GUI tramite questo tunnel , anche se ospite A
non permette X11 Forwarding
?
Capisco che è bello mostrare un po 'di sforzo, quindi qui va più lontano sono riuscito a ottenere, cercando di capire l'esecuzione di cui sopra. Ho sostituito target
con TARGET
e host C
con HOST_C
.
$ ssh -vXY TARGET
OpenSSH_6.2p2, OpenSSL 1.0.1e 11 Feb 2013
debug1: Reading configuration data /home/rubens/.ssh/config
debug1: /home/rubens/.ssh/config line 20: Applying options for TARGET
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Executing proxy command: exec ssh HOST_C nc TARGET 22
debug1: permanently_drop_suid: 1000
debug1: identity file /home/rubens/.ssh/id_rsa type 1
debug1: identity file /home/rubens/.ssh/id_rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0,
remote software version OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: match: OpenSSH_5.9p1 Debian-5ubuntu1.1 pat OpenSSH_5*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: RSA (some numbers...)
debug1: Host 'TARGET' is known and matches the RSA host key.
debug1: Found key in /home/rubens/.ssh/known_hosts:51
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/rubens/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug1: Authentication succeeded (publickey).
Authenticated to TARGET (via proxy).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Requesting X11 forwarding with authentication spoofing.
Welcome to Ubuntu 12.04.2 LTS (GNU/Linux 3.2.0-48-generic x86_64)
...
rubens@TARGET:~
$ # prompt, and I'm able to open graphical apps, like gkrellm
La connessione sembra aver luogo prima con l'host C
, che ha bisogno di connessioni precedenti (dipendenze di stacking di ricorsione a ritroso e risolverle in ordine LIFO).
All'host A
, che è il primo livello di connessione, è il X11Forward
permesso applicato? O crea semplicemente un tunnel di nc
connessioni, fino alla macchina target
e restituisce un socket aperto che uso in seguito in qualcosa di simile:
ssh -XY (open socket resulting from connections A->B->C->target)
Se è così, va bene sono in grado di connettermi X11Forwarding
? O forse c'è qualcosa di sbagliato nell'host A
L'installazione?
-W %h:%p
invece dinc %h %p
funziona bene Eppure, non ho esattamente quello che succede quando mi connetto usandossh -XY target
. La connessione viene aperta attraverso i nodi intermedi e viene restituita una porta socket, a cui io in realtàssh (socket)
? O fare le connessioni agli hostA
,B
, eC
, prima di connettersi atarget
, esegui semplicemente le autenticazioni, senza essere effettivamente parte della pila di scambio di pacchetti (il pacchetto va dalocalhost
- & gt;A
- & gt;B
- & gt;C
- & gt;target
, o, dopo l'autenticazione, sololocalhost
- & gt;target
)?