ssh para ip privado

Eu tenho um computador com CentOS (computador A) configurado como IP 10.150.5.141 (com firewall restrito), posso acessar a Internet e meu ArchLinux VPS (computador B) com ip real wxyz

Como criar outro PC (computador C) que pode acessar o computador B para conectar-se ao computador A, mas o computador C não pode conectar-se diretamente ao computador A (porque está na rede privada de A)?

Eu sei que um túnel pode abrir portas locais para outro computador: porta, mas como fazer o oposto?

Desejo acessar o computador A usando o sshcomputador B, mas o computador B não pode acessar o computador A, porque a rede no computador A é restritiva (pode sair, mas não pode entrar, porque não tenho acesso ao roteador)

Eu quero algo como isto:

ssh -connect-to w.x.y.z:22 -open-port vvv -forward-to 10.150.5.141 -port 22

de modo que quando eu ssh w.x.y.z:vvvdo computador C ele será encaminhado para a rede privada 10.150.5.141:22.

O que você está procurando é chamado de túnel reverso. sshfornece-o através do -Rinterruptor:

-R [bind_address:]port:host:hostport
       Specifies that the given port on the remote (server) host is to 
       be forwarded to the given host and port on the local side.  This 
       works by allocating a socket to listen to port on the remote side, 
       and whenever a connection is made to this port, the connection is
       forwarded over the secure channel, and a connection is made to host 
       port hostport from the local machine.

Como o OP descobriu com a resposta, a sintaxe é a seguinte:

$ ssh -f -N -R vvv:localhost:22 w.x.y.z

Exemplo

Eu tenho 2 computadores na rede lappye remotey. Então, eu executo o seguinte comando em lappy:

$ ssh -f -N -R 12345:localhost:22 remotey

Posso confirmar que está funcionando:

$ ps -eaf|grep "[l]ocalhost:22"
saml     27685     1  0 11:10 ?        00:00:00 ssh -f -N -R 12345:localhost:22 remotey

Agora, se eu for sshseparadamente para o sistema remoto remoteye executar este comando, posso ver que agora ele está aceitando conexões na porta 12345 na interface local do sistema remoto:

$ netstat -an|grep :12345
tcp        0      0 127.0.0.1:12345             0.0.0.0:*                   LISTEN      
tcp        0      0 ::1:12345                   :::*                        LISTEN      

Testando a conexão

Você pode ver que o túnel ssh reverso está funcionando da seguinte maneira.

1. logar em remotey

   [user@lappy ~]$ ssh remotey
   

2. teste a porta do túnel reverso

   [user@remotey ~]$ ssh -p 12345 localhost
   

3. agora deve estar de volta na lappy

   user@localhost's password: 
   Last login: Thu Aug  1 17:53:54 2013
   /usr/bin/xauth:  creating new authority file /home/user/.Xauthority
   [user@lappy ~]$ 
   

Portas em interfaces diferentes de localhost (lo )?

Você pode ficar coçando a cabeça se tentar um comando como este e ele parece não funcionar, ou sempre se liga a uma porta no host local (lo interface ).

Por exemplo:

lappy$ ssh -f -N -R remotey:12345:lappy:22 remotey

NOTA: Este comando diz para abrir a porta 12345 @ remotey e encapsular todas as conexões na porta 22 @ lappy.

Em seguida, no remotey:

remotey$ netstat -an|grep 12345
tcp        0      0 127.0.0.1:12345              0.0.0.0:*                   LISTEN   

O que está acontecendo é que sshdas configurações não estão permitindo que você faça isso. De fato, sem esse recurso ativado ( GatewayPorts), você não poderá vincular nenhumssh porta de túnel a nada, exceto localhost.

Ativando GatewayPorts

remotey$ grep GatewayPorts /etc/ssh/sshd_config
#GatewayPorts no

Para habilitá-lo, edite este arquivo /etc/ssh/sshd_config:

GatewayPorts clientspecified

E reinicie sshd:

remotey$ sudo service sshd restart

Agora tente novamente e veremos o efeito que estamos buscando:

lappy$ ssh -f -N -R remotey:12345:lappy:22 remotey

E verifique novamente desta vez no remotey:

remotey$ netstat -anp | grep 12345
tcp        0      0 192.168.1.3:12345           0.0.0.0:*                   LISTEN      9333/sshd

NOTA: No exemplo acima, podemos ver que o sshdprocesso agora está escutando na interface que possui o endereço IP 192.168.1.3, para conexões na porta 12345.

Testando a conexão (parte deux)

Agora, com nossa configuração alterada, quando a testarmos desta vez. A principal diferença é que não precisamos mais nos conectar ao localhost!

1. logar em remotey

   [user@lappy ~]$ ssh remotey
   

2. testar conexão reversa

   [user@remotey ~]$ ssh -p 12345 remotey
   

3. agora deve estar de volta na lappy

   root@remotey's password: 
   Last login: Wed Aug 21 01:49:10 2013 from remotey
   [user@lappy ~]$ 
   

Referências

• Como fazer um túnel SSH reverso
• SSH / OpenSSH / PortForwarding
• túnel ssh através de vários saltos
• Como funciona o encapsulamento SSH reverso?
• ssh o tempo todo
• Invertendo uma conexão ssh
• encadeamento de túneis ssh
• Crie um túnel SSH dentro de uma cadeia de exemplos de túneis SSH
• Ignorando o firewall corporativo com encaminhamento de porta ssh reversa
• Túnel de porta reversa

Como o computador B não pode acessar o computador A, será necessário abrir um túnel remoto do computador A primeiro.

ssh user@computerB -R vvv:localhost:22

deixa pra lá, encontrei a resposta:

ssh -f -N -R vvv:localhost:22 w.x.y.z

do computador A

EDIT: TL; DR, solução correta:

ssh -f -N -R w.x.y.z:vvv:localhost:22 w.x.y.z