Inicio > Personal, Programación, Software Libre > Script para tunel SSH inverso

Script para tunel SSH inverso

Martes, 30 de Enero de 2007
Ir a comentarios Dejar un comentario

Muchos de los equipos a los que tengo que hacer pequeñas intervenciones o mantenimientos en el trabajo van rodando por el mundo, es decir, o son portátiles o son equipos tras routers/firewalls no controlados por mi. Así­ que tengo el problema de no poderme conectar por SSH a (supongamos) un portátil de un gerente que anda en algún hotel del mundo usando a saber que conexión a internet.

La opción más rápida era montar un script que hiciese un tunel ssh inverso hacia “mi máquina” y a partir de ahí­ tener acceso completo a cualquier equipo fuera de mis dominios de BOFH.

Pero para entenderlo mejor, voy a poner un caso práctico. Tenemos un amigo que se ha puesto una KUBUNTU. Nos llama para decirnos que no sabe como instalarse un programa, como es normal, no tenemos acceso SSH al equipo de nuestro amigo, por que no tiene ni idea de configurarse un NAT en su router, así­ que le enviamos el siguiente script por mail:


#!/bin/bash
# Script para hacer tunel ssh inverso
# Por David Martí­n :: Suki_ ::
# http://sukiweb.net

USUARIO_TUNEL="remoto"
PUERTO_TUNEL="22222"

SERVIDOR_REMOTO="servidor.remoto.com"
PUERTO_SERVIDOR_REMOTO="22"

TEXTO="echo ' ADMINISTRACIí“N REMOTA';
echo 'Se va a proceder a la conexión remota de este equipo con el servidor:';
echo $SERVIDOR_REMOTO;
echo;
echo 'Mantenga esta ventana abierta mientras desee mantener la conexión.';
echo;
echo 'Teclee a continuación la clave del usuario $USUARIO_TUNEL.';
echo;
echo"

TUNEL="ssh -l $USUARIO_TUNEL -R $PUERTO_TUNEL:localhost:$PUERTO_SERVIDOR_REMOTO -N $SERVIDOR_REMOTO"

xterm -title "Administración Remota" -e "$TEXTO;$TUNEL"

En nuestra máquina, creamos un usuario llamado “remoto” con una clave que luego le daremos a nuestro amigo. Vamos a suponer que nuestra máquina es accesible desde internet a través del dominio servidor.remoto.com (aunque también puedes usar tu IP pública) y que tienes el servidor SSH a la escucha en el puerto 22.

Bien, le dices a nuestro amigo que ejecute ese script (recuerda explicarle como darle permisos de ejecución) y le aparecerá una ventana como esta en su escritorio:

tunel_SSH_inverso

Le decimos que teclee el password que hemos asignado al usuario remoto y que mantenga esa ventana abierta. En este momento, nosotros nos vamos a nuestra consola y hacemos un ssh al puerto 22222 de nuestra máquina, con el usuario de nuestro amigo, algo como:

:~$ ssh -p 22222 amigo@localhost

Nuestro amigo nos da su password (o el de otro usuario de su máquina) y ya estamos dentro. De esta forma, podemos instalarle la aplicación que querí­a o lo que sea necesario.

El script se puede mejorar mucho, aunque es lo suficientemente funcional como para utilizarlo en estos casos. Yo de momento lo voy a ir utilizando con todas esas máquinas GNU/Linux que andan sueltas por el mundo fuera de mis dominios de BOFH. :P

Personal, Programación, Software Libre

  1. Miquel Herrera
    Miércoles, 31 de Enero de 2007 a las 10:39 | #1
    Responder | Citar

    Hola

    Buen articulo.
    Solo un pequeño apunte: si se usa la opcion -f en el comando ssh este pasa a background inmediatamente por lo que no hace falta que la ventana este abierta para que el tunel siga activo. Tambien se puede usar el formato usuario@server para que quede mas compacto. El comando quedarí­a asi:

    TUNEL=”ssh -N -f -R $PUERTO_TUNEL:localhost:$PUERTO_SERVIDOR_REMOTO $USUARIO_TUNEL@$SERVIDOR_REMOTO”

  2. Suki_
    Miércoles, 31 de Enero de 2007 a las 10:43 | #2
    Responder | Citar

    Tienes toda la razón Miguel, pero existe unos pequeños inconvenientes con esa opción.

    El usuario (nuestro amigo) tenderá a pinchar varias veces en el icono por que le parecerá que no hace nada (la ventana se abre y se cierra de inmediato).

    Por otro lado, si lo haces así­, el tunel se queda establecido, por lo que nuestro amigo no tiene el control de “cortarnos” la comunicación cuando él desee.

    Precisamente por eso no lo pongo en background, aunque es buena opción tenerlo en cuenta.

    Gracias por tu aportación. :)

  3. Benito
    Lunes, 12 de Marzo de 2007 a las 11:48 | #3
    Responder | Citar

    Hola, leyendo el artí­culo me planteé una pregunta ¿y si queremos dar administración remota a un equipo que no sea Linux? Pues creo que habrí­a una solución posible:

    (1) Establecer un túnel inverso desde windows con un cliente SSH, Putty por ejemplo

    (2) Montar un servidor de escritorio remoto, VNC?

    (3) Ejecutar desde el servidor Linux el cliente VNC apuntando al localhost:22222 La pregunta es ¿en qué puerto tiene que escuchar el servidor VNC en la máquina windows?

    Supongo que estoy diciendo una barbaridad pero si fuera posible hacerlo serí­a muy útil…

    Un saludo.

  4. ddfire
    Lunes, 15 de Diciembre de 2008 a las 14:52 | #4
    Responder | Citar

    Excelente!!!

  5. kituk
    Miércoles, 13 de Mayo de 2009 a las 04:15 | #5
    Responder | Citar

    Muchísimas gracias realmente tu script me ayudó a resolver cómo dejar el ssh inverso vivo, gracias a la última línea “xterm -e “$COMMAND”, yo utilizo command en vez de túnel.

  1. Lunes, 22 de Octubre de 2007 a las 15:16 | #1
    piffall.net
  2. Miércoles, 16 de Abril de 2008 a las 22:45 | #2
    Sangfreda » Tunnel SSH