Я написал маленький bash script, которому нужен туннель ssh для извлечения данных с удаленного сервера, поэтому он запрашивает у пользователя:
echo "Please open an ssh tunnel using 'ssh -L 6000:localhost:5432 example.com'"
Я хотел бы проверить, открыл ли пользователь этот туннель и выйдет с сообщением об ошибке, если туннель не существует. Есть ли способ запросить туннель ssh, т.е. Проверить, действительно ли локальный порт 6000 туннелирован на этот сервер?
Спасибо,
Адам
Это мой тест. Надеюсь, это полезно.
# $COMMAND is the command used to create the reverse ssh tunnel
COMMAND="ssh -p $SSH_PORT -q -N -R $REMOTE_HOST:$REMOTE_HTTP_PORT:localhost:80 [email protected]$REMOTE_HOST"
# Is the tunnel up? Perform two tests:
# 1. Check for relevant process ($COMMAND)
pgrep -f -x "$COMMAND" > /dev/null 2>&1 || $COMMAND
# 2. Test tunnel by looking at "netstat" output on $REMOTE_HOST
ssh -p $SSH_PORT [email protected]$REMOTE_HOST netstat -an | egrep "tcp.*:$REMOTE_HTTP_PORT.*LISTEN" \
> /dev/null 2>&1
if [ $? -ne 0 ] ; then
pkill -f -x "$COMMAND"
$COMMAND
fi
Netcat - ваш друг:
nc -z localhost 6000 || echo 'no tunnel open'; exit 1
Autossh - лучший вариант - процесс проверки не работает во всех случаях (например, процесс зомби, связанные с сетью проблемы)
Пример:
autossh -M 2323 -c arcfour -f -N -L 8088:localhost:80 host2
Это скорее вопрос типа serverfault, но вы можете использовать netstat.
что-то вроде:
# netstat -lpnt | grep 6000 | grep ssh
Это скажет вам, будет ли процесс ssh прослушиваться на указанном порту. он также сообщит вам PID процесса.
Если вы действительно хотите дважды проверить, что процесс ssh был запущен с правильными параметрами, вы можете посмотреть процесс с помощью PID в чем-то вроде
# ps aux | grep PID
Используйте autossh. Это инструмент, предназначенный для мониторинга ssh-соединения.
stunnel - хороший инструмент для создания полупостоянных соединений между хостами.
#!/bin/bash
# Check do we have tunnel to example.com server
lsof -i [email protected]:6000 > /dev/null
# If exit code wasn't 0 then tunnel doesn't exist.
if [ $? -eq 1 ]
then
echo ' > You missing ssh tunnel. Creating one..'
ssh -L 6000:localhost:5432 example.com
fi
echo ' > DO YOUR STUFF < '
Это более подробные шаги для тестирования или устранения неполадок туннеля SSH. Некоторые из них можно использовать в script. Я добавляю этот ответ, потому что мне пришлось устранить связь между двумя приложениями после их прекращения работы. Просто grepping для процесса ssh было недостаточно, так как оно все еще было. И я не мог использовать nc -z, потому что этот параметр не был доступен по моему заклинанию netcat.
Пусть начнется с самого начала. Предположим, что есть машина, которая будет называться локальная с IP-адресом 10.0.0.1, а другая, называемая удаленной, в 10.0.3.12. Я буду добавлять эти имена хостов к приведенным ниже командам, поэтому они очевидны, где они выполняются.
Целью является создание туннеля, который будет перенаправлять TCP-трафик из обратного адреса на удаленном компьютере на порт 123 на локальный компьютер на порте 456. Это можно сделать с помощью следующей команды на локальном компьютере:
local:~# ssh -N -R 123:127.0.0.1:456 10.0.3.12
Чтобы проверить, что процесс запущен, мы можем:
local:~# ps aux | grep ssh
Если вы видите команду на выходе, мы можем продолжить. В противном случае проверьте, что ключ SSH установлен на пульте дистанционного управления. Обратите внимание, что за исключением имени пользователя перед удаленным IP-адресом, ssh использует текущее имя пользователя.
Далее мы хотим проверить, что туннель открыт на пульте дистанционного управления:
remote:~# netstat | grep 10.0.0.1
Мы должны получить такой же результат:
tcp 0 0 10.0.3.12:ssh 10.0.0.1:45988 ESTABLISHED
Было бы хорошо на самом деле видеть некоторые данные, проходящие с удаленного компьютера на хост. Здесь находится netcat. В CentOS его можно установить с помощью yum install nc.
Сначала откройте прослушивающий порт на локальном компьютере:
local:~# nc -l 127.0.0.1:456
Затем выполните соединение на пульте дистанционного управления:
remote:~# nc 127.0.0.1 123
Если вы откроете второй терминал на локальном компьютере, вы увидите соединение. Что-то вроде этого:
local:~# netstat | grep 456
tcp 0 0 localhost.localdom:456 localhost.localdo:33826 ESTABLISHED
tcp 0 0 localhost.localdo:33826 localhost.localdom:456 ESTABLISHED
Еще лучше, перейдите и введите что-то на пульте дистанционного управления:
remote:~# nc 127.0.0.1 8888
Hallo?
anyone there?
Вы должны увидеть, что это зеркалируется на локальном терминале:
local:~# nc -l 127.0.0.1:456
Hallo?
anyone there?
Туннель работает! Но что, если у вас есть приложение, называемое appname, которое предполагается прослушивать на порту 456 на локальном компьютере? Завершите nc с обеих сторон, затем запустите приложение. Вы можете проверить, что он прослушивает порт правильный с this:
local:~# netstat -tulpn | grep LISTEN | grep appname
tcp 0 0 127.0.0.1:456 0.0.0.0:* LISTEN 2964/appname
Кстати, запуск той же команды на пульте дистанционного управления должен показывать прослушивание sshd на порту 127.0.0.1:123.
Мы можем проверить с помощью команды ps
# ps -aux | grep ssh
Покажет все запущенные службы shh, и мы можем найти список туннелей, указанный в списке