sshのゲートウェイ
サーバリプレイス作業実施中です。今回の入れ替えで、ウェブのバックエンドを可能な限りLAN内に引っ込めて、外からhttpリクエストを受け付ける機械だけをDMZにおくようにしました。
バックエンドのアプリケーションが各種あるのですが、大体はベンダの保守が必要なシステム。いままでの構成だと、バックエンドのサーバもインタネットから見えるところにあるので直接sshでつないでもらっていたのですが、LANに引っ込めたことでそういうわけにもいかず。
ということでsshのゲートウェイをつくってそこから中に入ってもらうようにしました。
client(C) ---|FW|---SSH gateway(G)---|FW|----backend server(S) <---- DMZ ----> <--- LAN ---->
こんな感じ。
透過的に使えるように
クライアントCで.ssh/configにこんな記述を追加する。
Sってのはつなぎ先のサーバ。名前でもアドレスでも。
Host S Hostname localhost Port 2001 HostKeyAlias S
トンネルを作る。
クライアントCで以下のコマンドを実行してトンネルを作る。
$ ssh -L2001:S:22 G