質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.33%

  • Linux

    4043questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

SFTPのプロキシについて

解決済

回答 3

投稿

  • 評価
  • クリップ 1
  • VIEW 2,215

yoppy0066

score 258

やりたいこととしては、以下のようなサーバーがあります。
サーバーA = 中継用(踏み台)
サーバーB = 開発用

サーバーBではIP制限をかけてあり、サーバーAからのみアクセス可能な状態としています。そして、サーバーAを経由してSFTPでファイルアップロードをする方法について調べています。

案1

サーバーAをポートフォワーディングする形。
これでできるのですが、コマンドラインの操作に慣れていない人がいるのでできればコマンドなしでやりたい。

案2

サーバーAにsquidを入れてプロキシ経由で接続する形。

できれば、案2でやりたいのですがこういうことはよくやるものなのでしょうか?また、セキュリティ的に懸念などはありますでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • kanbeworks

    2017/02/03 13:48 編集

    サーバーA、サーバーBのそれぞれOSとバージョンはなんですか?また、サーバーAに接続するクライアントのOSとSFTPクライアントはなんですか?

    キャンセル

  • yoppy0066

    2017/02/03 14:08

    ありがとうございます。サーバーA 、Bともにcentos6.8になります。また、クライアントPCはMacでソフトはとりあえずFileZillaを想定しています。

    キャンセル

回答 3

checkベストアンサー

0

あらかじめ、ユーザーの.ssh/configに設定を書いていてもよければOpenSSHのNetCatモードを使う手もあるかと思います。

クライアントMacのユーザーディレクトリ以下に「.ssh/config」を以下の内容で作成します。

Host ServerB
    ProxyCommand ssh ServerA -W ServerB:%p

※ServerA、ServerBにはそれぞれのホスト名もしくはIPアドレス。

手元に環境がないので試せないのですが、上の設定を置いた状態で、FilezillaでServerBを指定すると接続できませんか?

追記02/04:
元の質問にある2つの案についても回答した方がいいですかね。

案1:ポートフォワードを利用する
こちらの方法は一般的かなあと思います。
WindowsPCを使っている場合、WinSCPやTeraTermでもポートフォワードが使えますから。
ただ、Macの場合を検索してみたら、あらかじめSSHコマンドでポートフォワードする方法ばかりで、Windows環境よりは若干面倒そうな。
コマンド操作に慣れていない方が多い場合は厳しそうです。
思いつく方法としては、ポートフォワード用のスクリプト組んで配布しておき、ファイル転送前に実行させる手順でしょうか。

案2:プロキシサービス(Squidなど)を導入する
運用寄りの人間としては、あんまりこの方法は採りたくないです。
例えば結構な頻度でファイル転送するようなジョブを運用してるとかなら考えなくもないですが。
サーバーで稼働するサービスが増えれば「穴」が増える事にもなりますし。
追加したサービスによるサーバーの消費リソース増も気になるかも知れませんし。
障害対応や脆弱性対応など、いろんな手間も増えます。

作業のためだけであれば、最初の回答に書いたProxyCommandでSSHのNetCatモード、もしくはnc(netcat)コマンドを経由した接続の方がお手軽な気がします。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/04 13:21

    ご回答ありがとうございます。
    あまり詳しくないのでポートフォワードの方が良さそうですね。

    ssh -fN -L <サーバーA IP>:10022:<サーバーB IP>:22 <サーバーB IP>
    こちらは可能なのでしょうか?

    キャンセル

  • 2017/02/04 13:33 編集

    可能です。
    オプションは確認した方がよいですが。

    スクリプトとしてMacに置いて、ユーザーには「SFTPする前にこれを実行してね」と周知しておき、実行後にFileZillaで「サーバーA」の「ポート10022番」を指定して接続するようにすれば良いかと思います。

    キャンセル

  • 2017/02/04 13:36

    > サーバーAで以下のコマンドでポートフォワードを有効化しておくだけで、
    > SFTPクライアントはサーバAを意識せずにサーバBへアクセスできるかと思います。

    とあるのですが、ローカルでの作業がいらない認識だったのですが違いましたでしょうか?(質問する相手が違ってしまい申し訳ありません。。。)

    キャンセル

  • 2017/02/04 13:45

    sshでログインは必要になります。
    あらかじめログイン情報を.ssh/configに書いておけば手間は少し減りますが。

    キャンセル

  • 2017/02/04 13:54

    なるほど。サーバーAの設定等でクラインアントの.ssh/configをいじらずに接続する方法はあるでしょうか?

    キャンセル

  • 2017/02/04 14:11

    ユーザー単位の設定ではなく、クライアントPC側も手を加えず、不特定のユーザーのアクセスをサーバーAで受け付ける場合、最初の案2のsquidとかを使用することになるかと。

    他のサイトさんのQAをそのまま引っ張ってくるのもなんですが、このようにsocat+xinetdでお手軽に簡易プロキシを実現する方法もあることはあります。
    http://q.hatena.ne.jp/touch/1262698535

    ただ、socatは扱い方を間違うと重大なセキュリティホールになり得るので要注意です。

    キャンセル

  • 2017/02/04 14:16

    ありがとうございました!助かりました

    キャンセル

  • 2017/02/04 14:19

    もうひとつ、iptablesでポート転送する方法も紹介しておきます。
    他のサイトさんのリンクで申し訳ないですが、こういう方法もありますということで。
    http://mokky14.hatenablog.com/entry/2013/12/04/143415

    キャンセル

  • 2017/02/05 01:48

    ありがとうございます。たびたび申し訳有りません。
    squidでssh用のプロキシを実装した場合に、IP制限をいれないと踏み台にされ放題になってしまうのでしょうか。。。?

    https://teratail.com/questions/64621
    また、こちらに質問させていただいたのでご確認頂けますと幸いです。

    キャンセル

  • 2017/02/05 08:03

    可能であればIP制限もかけた方が無難な気がします。
    詳細は新しい質問側にも記載しましたのでご確認下さい。

    キャンセル

0

どちらも一般的な手法で、全ての通信を暗号化するのでセキュリティ的には問題ありません。

案1の方がSquidを構築する必要がないので手軽かと思います。
コマンドなしでやりたい。とはどこまでを想定しているか分かりませんが、
例えば、サーバーAで以下のコマンドでポートフォワードを有効化しておくだけで、
SFTPクライアントはサーバAを意識せずにサーバBへアクセスできるかと思います。

ssh -fN -L <サーバーA IP>:10022:<サーバーB IP>:22 <サーバーB IP>


※サーバAがWindowsであればTeraTermでも同じことができます。  

案2であればこちらのサイトが参考になります。
SquidでSSHをプロキシする設定。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

サーバーA で認証が必要ないのであれば、xinetd の redirect をプロキシーのように使うことができます。

(/etc/xinetd.d/ssh-proxy-serverB)

{
        disable = no
        type            = UNLISTED
        port            = 10022
        flags           = IPv4
        socket_type     = stream
        wait            = no
        user            = nobody
        redirect        = (サーバーBのIPアドレス) 22
        log_on_failure  += USERID
        instances       = 10
        only_from       = (SFTPクライアントのIPアドレス)
}

SFTPクライアントからサーバーA の 10022 番ポートに接続すると、サーバーB の 22番ポートにつながります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • Linux

    4043questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。