זהו מעבורת הפקודה שניתן להפעיל בספק האחסון החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
sshuttle - תיעוד sshuttle
תַקצִיר
מעבורת [אפשרויות] [-r [username@]sshserver[:port]]רשתות משנה ...>
תיאור
מעבורת מאפשר לך ליצור חיבור VPN מהמחשב שלך לכל שרת מרוחק
אתה יכול להתחבר באמצעות ssh, כל עוד לשרת הזה יש Python 2.3 ומעלה.
כדי לעבוד, אתה חייב לקבל גישת שורש במחשב המקומי, אבל אתה יכול להיות בעל חשבון רגיל
בשרת.
זה חוקי להפעלה מעבורת יותר מפעם אחת בו-זמנית על מחשב לקוח בודד,
מתחבר לשרת אחר בכל פעם, כך שאתה יכול להיות על יותר מ-VPN אחד בו-זמנית.
אם פועל על נתב, מעבורת יכול להעביר תעבורה עבור כל רשת המשנה שלך ל-VPN.
אפשרויות
רשתות משנה
רשימה של רשתות משנה לניתוב דרך ה-VPN, בטופס abcd[/width]. תָקֵף
דוגמאות לכך הן 1.2.3.4 (כתובת IP בודדת), 1.2.3.4/32 (שווה ערך ל-1.2.3.4),
1.2.3.0/24 (רשת משנה של 24 סיביות, כלומר עם מסיכת רשת 255.255.255.0), ו-0/0 ('רק
נתב הכל דרך ה-VPN').
-ל, --listen=[ip:]יציאה
השתמש בכתובת ה-IP ובמספר היציאה האלה בתור יציאת ה-proxy השקופה. כברירת מחדל
מעבורת מוצא יציאה זמינה באופן אוטומטי ומאזין ב-IP 127.0.0.1
(localhost), כך שלא תצטרך לעקוף אותו, והחיבורים הם רק פרוקסי
מהמכונה המקומית, לא ממכונות חיצוניות. אם אתה רוצה לקבל
חיבורים ממכונות אחרות ברשת שלך (כלומר להפעיל מעבורת על נתב)
נסה להפעיל העברת IP בקרנל שלך ולאחר מכן השתמש --להקשיב 0.0.0.0:0.
עבור שיטת tproxy זו יכולה להיות כתובת IPv6. השתמש באפשרות זו פעמיים אם
נדרש, לספק גם כתובות IPv4 וגם IPv6.
-ח, -- מארחים אוטומטיים
סרוק אחר שמות מארחים מרוחקים ועדכן את המקומי / Etc / hosts קובץ עם התאמה
ערכים כל עוד ה-VPN פתוח. זה יותר נחמד משינוי של המערכת שלך
DNS (/ Etc / resolv.conf) הגדרות, מכמה סיבות. ראשית, מוסיפים שמות מארח
ללא שמות דומיין מצורפים, אז אתה יכול ssh השרת הזה בלי לדאוג אם שלך
הדומיין המקומי תואם את הדומיין המרוחק. שנית, אם אתה מעבורת ליותר מאחד
VPN בכל פעם, בכל מקרה, אי אפשר להשתמש ביותר משרת DNS אחד בו-זמנית, אבל
מעבורת מתמזג בצורה נכונה / Etc / hosts ערכים בין כל העותקים הרצים. שלישית, אם
אתה מנתב רק כמה רשתות משנה דרך ה-VPN, כנראה שתעדיף לשמור
באמצעות שרת ה-DNS המקומי שלך לכל השאר.
-נ, --רשתות אוטומטיות
בנוסף לרשתות המשנה הניתנות בשורת הפקודה, שאל את השרת איזה
רשתות משנה שהוא חושב שאנחנו צריכים לנתב, ולנתב אותן באופן אוטומטי. ההצעות
נלקחים אוטומטית מטבלת הניתוב של השרת.
--dns לכוד בקשות DNS מקומיות ולהעביר לשרת ה-DNS המרוחק.
--פִּיתוֹן
ציין את השם/הנתיב של מתורגמן הפיתון המרוחק. ברירת המחדל היא פשוט
פִּיתוֹן, שפירושו להשתמש במתורגמן ברירת המחדל של פיתון במערכת המרוחקת
נָתִיב.
-ר, --remote=[username@]sshserver[:port]
שם המארח המרוחק ושם המשתמש האופציונלי ומספר יציאת ה-ssh לשימוש לחיבור
לשרת המרוחק. לדוגמה, example.com, [מוגן בדוא"ל],
[מוגן בדוא"ל]:2222, או example.com:2244.
-איקס, --exclude=רשת משנה
אל תכלול במפורש תת רשת זו מהעברה. הפורמט של אפשרות זו הוא
זהה ל אוֹפְּצִיָה. כדי לא לכלול יותר מרשת משנה אחת, ציין את -x
אפשרות יותר מפעם אחת. אתה יכול להגיד משהו כמו 0/0 -x 1.2.3.0/24 להעביר הלאה
הכל מלבד רשת המשנה המקומית דרך ה-VPN, למשל.
-איקס, --exclude-from=file
אל תכלול את רשתות המשנה שצוינו בקובץ, רשת משנה אחת בכל שורה. שימושי כשיש לך
הרבה רשתות משנה להחריג.
-ב, --מִלוּלִי
הדפס מידע נוסף על הפגישה. ניתן להשתמש באפשרות זו יותר מפעם אחת
להגברת המלל. כברירת מחדל, מעבורת מדפיס רק הודעות שגיאה.
, --ssh-cmd
הפקודה לשימוש כדי להתחבר לשרת המרוחק. ברירת המחדל היא פשוט ssh. להשתמש
זה אם לקוח ה-ssh שלך נמצא במיקום לא סטנדרטי או שאתה רוצה לספק תוספת
אפשרויות לפקודת ssh, למשל, -e 'שש -v'.
---seed-hosts
רשימה מופרדת בפסיקים של שמות מארחים לשימוש כדי לאתחל את -- מארחים אוטומטיים סריקה
אלגוריתם. -- מארחים אוטומטיים עושה דברים כמו סקר שרתי SMB מקומיים עבור רשימות של מקומיים
שמות מארחים, אבל יכול להאיץ את העניינים אם תשתמש באפשרות זו כדי לתת לו כמה שמות
התחל מ.
--ללא-שליטה-השהייה
הקרבת זמן השהייה כדי לשפר את מדדי רוחב הפס. ssh משתמש בשקע ממש גדול
מאגרים, שיכולים להעמיס על החיבור אם תתחיל לבצע העברות קבצים גדולות,
ובכך לגרום לכל ההפעלות האחרות שלך בתוך אותה מנהרה לעבור לאט. בדרך כלל,
מעבורת מנסה להימנע מבעיה זו באמצעות "בדיקת מלאות" המאפשרת רק א
כמות מסוימת של נתונים מצטיינים שיש לאחסן בכל פעם. אבל ברוחב פס גבוה
קישורים, זה יכול להשאיר הרבה מרוחב הפס שלך לא מנוצל. זה גם עושה
מעבורת נראה איטי במדדי רוחב פס (בנצ'מרקים לעתים רחוקות בודקים את זמן השהיית פינג,
שזה מה מעבורת מנסה לשלוט). אפשרות זו משביתה את ההשהיה
תכונת בקרה, מקסום את השימוש ברוחב הפס. השימוש על אחריותך בלבד.
-ד, --דימון
מזלג אוטומטית לרקע לאחר התחברות לשרת המרוחק.
מרמז --syslog.
--syslog
לאחר החיבור, שלח את כל הודעות היומן אל syslog(3) שירות במקום stderr.
זה משתמע אם אתה משתמש --דימון.
--pidfile=pidfilename
בעת שימוש --דימון, לשמור מעבורתזה עצבני pidfilename. ברירת המחדל היא
sshuttle.pid בספרייה הנוכחית.
--disable-ipv6
אם אתה משתמש בשיטת tproxy, זה ישבית את תמיכת ה-IPv6.
--חומת אש
(שימוש פנימי בלבד) הפעל את מנהל חומת האש. זה החלק היחיד של מעבורת
שחייב לפעול כשורש. אם תתחיל מעבורת כמשתמש שאינו שורש, זה יעשה זאת
לרוץ אוטומטית sudo or su כדי להפעיל את מנהל חומת האש, אבל הליבה של
מעבורת עדיין פועל כמשתמש רגיל.
--hostwatch
(שימוש פנימי בלבד) הפעל את ה-hostwatch daemon. תהליך זה פועל בצד השרת
ואוסף שמות מארח עבור -- מארחים אוטומטיים אוֹפְּצִיָה. משתמש באפשרות זו בפני עצמה
עושה את זה הרבה יותר קל לנפות באגים ולבדוק את -- מארחים אוטומטיים תכונה.
דוגמאות
בדוק באופן מקומי על ידי העברת פרוקסי לכל החיבורים המקומיים, מבלי להשתמש ב-ssh:
$ sshuttle -v 0/0
מפעיל שרת proxy של shuttle.
מאזין הלאה ('0.0.0.0', 12300).
[סודו מקומי] סיסמא:
מנהל חומת האש מוכן.
ג: מתחבר לשרת...
s: מסלולים זמינים:
s: 192.168.42.0/24
ג: מחובר.
מנהל חומת האש: הפעלת טרנספרוקסי.
c : קבל: 192.168.42.106:50035 -> 192.168.42.121:139.
c : קבל: 192.168.42.121:47523 -> 77.141.99.22:443.
...וכו...
^C
מנהל חומת האש: ביטול שינויים.
מקלדת הפסקה
ג: הפסקת מקלדת: יוצא.
c : SW#8:192.168.42.121:47523: מחיקה
c : SW#6:192.168.42.106:50035: מחיקה
בדוק חיבור לשרת מרוחק, עם ניחוש אוטומטי של שם מארח ורשת משנה:
$ sshuttle -vNHr example.org
מפעיל שרת proxy של shuttle.
מאזין הלאה ('0.0.0.0', 12300).
מנהל חומת האש מוכן.
ג: מתחבר לשרת...
s: מסלולים זמינים:
s: 77.141.99.0/24
ג: מחובר.
c : seed_hosts: []
מנהל חומת האש: הפעלת טרנספרוקסי.
hostwatch: נמצא: testbox1: 1.2.3.4
hostwatch: נמצא: mytest2: 5.6.7.8
hostwatch: נמצא: domaincontroller: 99.1.2.3
c : קבל: 192.168.42.121:60554 -> 77.141.99.22:22.
^C
מנהל חומת האש: ביטול שינויים.
ג: הפסקת מקלדת: יוצא.
c : SW#6:192.168.42.121:60554: מחיקה
דיון
כשזה מתחיל, מעבורת יוצר הפעלת ssh לשרת שצוין על ידי -r אוֹפְּצִיָה.
If -r מושמט, הוא יתחיל גם את הלקוח וגם את השרת שלו באופן מקומי, וזה לפעמים
שימושי לבדיקה.
לאחר התחברות לשרת המרוחק, מעבורת מעלה את קוד המקור (פיתון) שלו ל-
קצה מרוחק ומבצע אותו שם. לכן, אתה לא צריך להתקין מעבורת בשלט הרחוק
שרת, ואף פעם אין מעבורת התנגשויות גרסה בין לקוח לשרת.
בניגוד לרוב ה-VPN, מעבורת מעביר הפעלות, לא מנות. כלומר, הוא משתמש בקרנל
פרוקסי שקוף (iptables הפניה מחדש כללים על לינוקס) כדי ללכוד הפעלות TCP יוצאות,
ואז יוצר הפעלות TCP נפרדות לחלוטין אל היעד המקורי באחר
סוף המנהרה.
העברת מנות ברמת מנות (למשל שימוש במכשירי tun/tap בלינוקס) נראית אלגנטית בהתחלה,
אבל זה גורם למספר בעיות, בעיקר בעיית 'tcp over tcp'. פרוטוקול tcp
תלוי ביסודו בהורדת מנות על מנת ליישם את הגודש שלה
אגוריתם שליטה; אם תעביר מנות tcp דרך מנהרה מבוססת tcp (כגון ssh),
מנות tcp פנימיות לעולם לא יוותרו, ולכן בקרת הגודש של זרם ה-tcp הפנימי
ישבר לגמרי, והביצועים יהיו איומים. לפיכך, VPNs מבוססי מנות
(כגון IPsec ו-openvpn) לא יכולים להשתמש בזרמים מוצפנים מבוססי tcp כמו ssh או ssl, ו
צריך ליישם את ההצפנה שלהם מאפס, וזה מאוד מורכב ושגיאה
נוֹטֶה.
מעבורתהפשטות של זה נובעת מהעובדה שהוא יכול להשתמש בבטחה ב-ssh הקיים
מנהרה מוצפנת ללא עונש ביצוע. זה עושה זאת בכך שהוא נותן ל-
ליבת צד הלקוח מנהלת את זרם ה-tcp הנכנס, והקרנל בצד השרת מנהל את
זרם tcp יוצא; אין צורך בשיתוף בקרת הגודש בין השניים
זרמים נפרדים, כך שמנהרה מבוססת tcp היא בסדר.
השתמש ב-shuttle מקוון באמצעות שירותי onworks.net
