Posted inNetwork

Hướng dẫn cấu hình SSH Tunnel: Local, Remote và Dynamic Port Forwarding

Network tutorial - IT technology blog
Network tutorial - IT technology blog

Giới thiệu vấn đề: Vượt qua rào cản mạng với SSH

Trong công việc, tôi thường xuyên cần truy cập các dịch vụ nằm sau tường lửa hoặc bảo mật kết nối khi làm việc tại nơi công cộng. Chắc hẳn bạn cũng từng băn khoăn làm thế nào để truy cập database nội bộ từ nhà, hay kiểm tra webhook trên máy dev mà không cần mở port trực tiếp?

Khi đó, SSH không chỉ là công cụ đăng nhập từ xa. Đối với tôi, nó còn là một “con dao Thụy Sĩ” đa năng cho dân kỹ thuật. Bên cạnh việc cung cấp shell an toàn, SSH có thể tạo ra các đường hầm (tunnel) mã hóa. Các tunnel này cho phép chúng ta chuyển tiếp lưu lượng mạng một cách an toàn, linh hoạt. Với kinh nghiệm quản lý mạng cho một văn phòng 50 người và một trung tâm dữ liệu nhỏ, tôi nhận thấy SSH Tunnel đặc biệt hiệu quả. Nó đơn giản hóa nhiều tác vụ phức tạp và tăng cường bảo mật rõ rệt.

Bài viết này sẽ đi sâu vào ba loại SSH Tunnel phổ biến nhất: Local, Remote và Dynamic Port Forwarding. Tôi sẽ giải thích khi nào cần dùng từng loại, cách cấu hình chi tiết và những ví dụ thực tế giúp bạn áp dụng ngay vào công việc.

Khái niệm cốt lõi: SSH Tunnel là gì?

Trước khi đi vào chi tiết, hãy hình dung SSH Tunnel đơn giản là việc tạo ra một kênh liên lạc mã hóa giữa hai điểm qua một máy chủ SSH trung gian. Toàn bộ dữ liệu qua đường hầm này đều được mã hóa, bảo vệ bạn khỏi các mối đe dọa như nghe trộm hay giả mạo. Điều này đặc biệt hữu ích khi bạn cần truy cập các dịch vụ không được mã hóa (như HTTP, Telnet, hay các database thông thường) một cách an toàn qua mạng công cộng.

Có ba loại chính, mỗi loại phục vụ một mục đích khác nhau:

  • Local Port Forwarding: Khi bạn muốn truy cập một dịch vụ trên máy chủ từ xa (remote server) như thể nó đang chạy trên máy cục bộ (local machine) của bạn.
  • Remote Port Forwarding: Khi bạn muốn một dịch vụ trên máy cục bộ của bạn có thể được truy cập từ máy chủ từ xa, hoặc từ một nơi khác thông qua máy chủ từ xa đó.
  • Dynamic Port Forwarding (SOCKS Proxy): Khi bạn muốn biến máy chủ từ xa thành một proxy, định tuyến toàn bộ lưu lượng mạng của bạn qua đó, rất tiện lợi để ẩn địa chỉ IP thực hoặc vượt qua kiểm duyệt mạng.

Thực hành chi tiết: Cấu hình các loại SSH Tunnel

Local Port Forwarding (Kết nối từ máy cục bộ ra ngoài)

Khi nào cần dùng Local Port Forwarding?

Local Port Forwarding là trường hợp tôi sử dụng thường xuyên nhất. Hãy hình dung bạn đang ở nhà, cần truy cập giao diện quản trị (admin panel) của một ứng dụng web đang chạy trên server tại datacenter. Ứng dụng này chỉ lắng nghe trên cổng nội bộ (ví dụ: 8080) và không được mở ra Internet vì lý do bảo mật. Hoặc bạn cần kết nối đến database (PostgreSQL, MySQL) trên server, nhưng database đó cũng không cho phép kết nối từ bên ngoài.

Thay vì phải SSH vào server rồi dùng curl hoặc các client CLI để tương tác, tôi sẽ tạo một đường hầm SSH. Đường hầm này chuyển tiếp một cổng trên máy cục bộ của tôi (ví dụ: 8080) đến cổng 8080 của dịch vụ trên máy chủ từ xa. Khi đó, tôi chỉ cần mở trình duyệt và truy cập http://localhost:8080 là có thể thấy giao diện admin. Rất đơn giản và an toàn.

Cú pháp và giải thích

Cú pháp cơ bản:


ssh -L <local_port>:<remote_host>:<remote_port> <user>@<ssh_server_ip>
  • -L: Chỉ định Local Port Forwarding.
  • <local_port>: Cổng trên máy tính cục bộ của bạn mà bạn muốn lắng nghe.
  • <remote_host>: Địa chỉ IP hoặc hostname của máy chủ mà dịch vụ bạn muốn truy cập đang chạy. Thường là localhost nếu dịch vụ chạy trên chính SSH server.
  • <remote_port>: Cổng của dịch vụ trên <remote_host>.
  • <user>@<ssh_server_ip>: Tên người dùng và địa chỉ IP của máy chủ SSH mà bạn sẽ tạo đường hầm qua đó.

Ví dụ thực tế

Giả sử bạn có một web app nội bộ chạy trên server_remote tại cổng 8080, và bạn muốn truy cập nó từ máy cục bộ của mình (my_laptop) trên cổng 8000.


# Từ máy cục bộ (my_laptop)
ssh -L 8000:localhost:8080 user@server_remote_ip

Sau khi lệnh này chạy thành công và bạn đã đăng nhập SSH vào server_remote, bạn có thể mở trình duyệt trên my_laptop và truy cập http://localhost:8000. Toàn bộ lưu lượng từ cổng 8000 trên my_laptop sẽ được mã hóa. Sau đó, nó được gửi qua server_remote và chuyển tiếp đến cổng 8080 của dịch vụ trên server_remote.

Một ví dụ khác, truy cập database PostgreSQL chạy trên server_remote (cổng 5432):


ssh -L 5432:localhost:5432 user@server_remote_ip

Bây giờ, bạn có thể dùng các công cụ quản lý PostgreSQL (như DBeaver, pgAdmin) trên máy cục bộ của mình và kết nối đến localhost:5432. Dữ liệu sẽ đi qua đường hầm SSH an toàn.

Remote Port Forwarding (Mở cổng từ máy chủ SSH vào mạng nội bộ)

Khi nào cần dùng Remote Port Forwarding?

Remote Port Forwarding thì ngược lại. Đã có lần, tôi cần đối tác truy cập tạm thời vào một dịch vụ dev trên máy cục bộ của mình (ví dụ: một API chạy trên cổng 3000). Tôi không muốn mở port trực tiếp trên firewall hay deploy ra ngoài. Remote Port Forwarding chính là giải pháp gọn gàng nhất.

Nói cách khác, bạn muốn một dịch vụ đang chạy trên máy cục bộ của bạn (ví dụ: my_laptop:3000) có thể được truy cập từ bên ngoài. Việc này thực hiện thông qua cổng của máy chủ SSH (server_remote).

Cú pháp và giải thích

Cú pháp cơ bản:


ssh -R <remote_port>:<local_host>:<local_port> <user>@<ssh_server_ip>
  • -R: Chỉ định Remote Port Forwarding.
  • <remote_port>: Cổng trên máy chủ SSH (ssh_server_ip) mà bạn muốn mở ra cho người khác truy cập.
  • <local_host>: Địa chỉ IP hoặc hostname của máy tính cục bộ của bạn (thường là localhost hoặc 127.0.0.1).
  • <local_port>: Cổng của dịch vụ đang chạy trên máy cục bộ của bạn.
  • <user>@<ssh_server_ip>: Tên người dùng và địa chỉ IP của máy chủ SSH mà bạn sẽ tạo đường hầm qua đó.

Lưu ý quan trọng: Để Remote Port Forwarding hoạt động, bạn cần cho phép người khác truy cập vào cổng trên máy chủ SSH. Đảm bảo tùy chọn GatewayPorts yes được kích hoạt trong file cấu hình /etc/ssh/sshd_config trên máy chủ SSH. Sau đó, khởi động lại dịch vụ SSH (sudo systemctl restart sshd).

Ví dụ thực tế

Bạn có một web server đang chạy trên máy cục bộ của mình (my_laptop) trên cổng 3000. Bạn muốn nó có thể truy cập được thông qua cổng 8000 trên server_remote.


# Từ máy cục bộ (my_laptop)
ssh -R 8000:localhost:3000 user@server_remote_ip

Sau khi lệnh này chạy và bạn đã đăng nhập SSH, bất kỳ ai truy cập http://server_remote_ip:8000 sẽ được chuyển tiếp đến localhost:3000 trên my_laptop của bạn thông qua đường hầm SSH an toàn. Tôi đã dùng cách này để trình diễn demo nhanh cho đối tác mà không cần lo lắng về cấu hình mạng phức tạp.

Dynamic Port Forwarding (Tạo SOCKS Proxy)

Khi nào cần dùng Dynamic Port Forwarding?

Đây là ‘mẹo’ tôi hay dùng khi cần ‘du lịch mạng’ hoặc tăng cường bảo mật. Khi đi công tác hay làm việc ở quán cà phê, tôi luôn dùng Dynamic Port Forwarding để mã hóa toàn bộ lưu lượng duyệt web. Điều này đảm bảo không ai nghe trộm được dữ liệu của tôi trên mạng Wi-Fi công cộng. Hoặc khi cần truy cập các trang web bị chặn theo khu vực, Dynamic Port Forwarding sẽ định tuyến lưu lượng qua một máy chủ SSH ở quốc gia khác.

Dynamic Port Forwarding tạo ra một SOCKS proxy trên máy cục bộ của bạn. Mọi ứng dụng (trình duyệt web, ứng dụng chat, v.v.) được cấu hình để sử dụng proxy này sẽ gửi lưu lượng qua đường hầm SSH tới máy chủ SSH từ xa. Từ đó, máy chủ SSH sẽ thay bạn kết nối tới các đích đến trên Internet.

Cú pháp và giải thích

Cú pháp cơ bản:


ssh -D <local_port> <user>@<ssh_server_ip>
  • -D: Chỉ định Dynamic Port Forwarding, tạo một SOCKS proxy.
  • <local_port>: Cổng trên máy cục bộ của bạn mà SOCKS proxy sẽ lắng nghe.
  • <user>@<ssh_server_ip>: Tên người dùng và địa chỉ IP của máy chủ SSH sẽ hoạt động như proxy.

Ví dụ thực tế

Tạo một SOCKS5 proxy trên máy cục bộ của bạn trên cổng 9090, sử dụng server_remote làm máy chủ proxy:


# Từ máy cục bộ (my_laptop)
ssh -D 9090 user@server_remote_ip

Sau khi lệnh này chạy, bạn cần cấu hình trình duyệt hoặc ứng dụng của mình để sử dụng SOCKS proxy này. Ví dụ, trong Firefox:

  1. Vào Settings (Cài đặt) -> Network Settings (Thiết lập Mạng).
  2. Chọn Manual proxy configuration (Cấu hình Proxy thủ công).
  3. Trong phần SOCKS Host, nhập localhostPort9090. Chọn SOCKS v5.
  4. Lưu lại và bạn đã có thể duyệt web qua server_remote_ip.

Đối với Chrome, bạn có thể khởi chạy nó với tùy chọn proxy (hoặc dùng extension như FoxyProxy):


# Trên Linux
google-chrome --proxy-server="socks5://localhost:9090"

# Trên macOS
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --proxy-server="socks5://localhost:9090"

Các Tùy Chọn Hữu Ích Khác

Để tối ưu việc sử dụng SSH Tunnel, tôi thường kết hợp thêm một số tùy chọn hữu ích:

  • -N: Không thực thi lệnh từ xa. Rất hữu ích khi bạn chỉ muốn tạo đường hầm mà không cần mở shell SSH.
  • -f: Chuyển tiến trình SSH ra chạy nền sau khi xác thực thành công. Điều này cho phép bạn tiếp tục sử dụng terminal của mình.
  • -q: Chế độ yên lặng, không hiển thị các thông báo hay cảnh báo.
  • -p <port>: Chỉ định cổng SSH trên máy chủ từ xa nếu nó không phải là cổng mặc định 22. Ví dụ: ssh -p 2222 ....

Kết hợp chúng lại, một lệnh tạo Local Port Forwarding chạy nền có thể trông như thế này:


ssh -fN -L 8000:localhost:8080 user@server_remote_ip

Lệnh này sẽ tạo đường hầm và ngay lập tức chạy nền, trả lại quyền kiểm soát terminal cho bạn.

Kết luận

SSH Tunneling là một tính năng mạnh mẽ, linh hoạt của SSH, giúp giải quyết nhiều bài toán hàng ngày. Từ việc truy cập dịch vụ nội bộ an toàn đến vượt qua giới hạn mạng một cách thông minh. Với vai trò quản lý hệ thống mạng, việc hiểu và vận dụng thành thạo Local, Remote, Dynamic Port Forwarding đã giúp tôi tiết kiệm rất nhiều thời gian, công sức. Đồng thời, nó còn nâng cao đáng kể mức độ bảo mật cho các hoạt động trực tuyến.

Tôi hy vọng qua bài viết này, bạn đã có cái nhìn rõ ràng về từng loại SSH Tunnel, hiểu được khi nào nên dùng và cách cấu hình chúng. Đừng ngại thử nghiệm với các lệnh ví dụ, vì đó là cách tốt nhất để bạn thực sự làm chủ công cụ tuyệt vời này. Hãy bắt đầu khám phá và biến SSH thành đồng minh đắc lực của bạn trong lĩnh vực IT đầy thử thách!

Share:
Tags: