L'exemple que vous avez fourni est correct, mais quelque peu trompeur. Cela devrait fonctionner:
ssh -L 8080:<remote-web-host-you-want-to-see>:80 remote-user@remote-ssh-server
Par exemple, considérons une boîte distante exécutant ssh qui peut accéder à cette page Web, que je veux voir localement:
http://192.168.1.2/index.html
Pour créer un tunnel sur ma boîte locale qui me permet d'accéder à cette page distante, je lance localement:
ssh -L 8080:192.168.1.2:80 user@remote-ssh-server
Et puis, dans un navigateur Web, je visite:
http: // localhost: 8080 / index.html
Si vous devez (ou souhaitez) omettre le spécificateur de port, vous devrez ouvrir le tunnel en tant que root, car 80 est un port "privilégié" (<1024):
sudo ssh -L 80:<remote-web-host-you-want-to-see>:80 remote-user@remote-ssh-server
Ensuite, vous pouvez simplement visiter localement:
http: //localhost/index.html
Aucune autre configuration n'est requise.
Soit dit en passant, cela ne fonctionne que pour un seul hôte que vous souhaitez voir localement. Si vous avez besoin d'en voir plus, vous devez soit ouvrir plus de tunnels sur d'autres ports, soit examiner les autres solutions que le tunnel demande pour tous les hôtes distants via un proxy.
Il s'agit de la troisième utilisation du -L
commutateur à partir de man ssh
:
-L [bind_address:]port:host:hostport
-L [bind_address:]port:remote_socket
-L local_socket:host:hostport
-L local_socket:remote_socket
Specifies that connections to the given TCP port or Unix socket on the
local (client) host are to be forwarded to the given host and port, or
Unix socket, on the remote side. This works by allocating a socket to
listen to either a TCP port on the local side, optionally bound to the
specified bind_address, or to a Unix socket. Whenever a connection is
made to the local port or socket, the connection is forwarded over the
secure channel, and a connection is made to either host port hostport,
or the Unix socket remote_socket, from the remote machine.
Port forwardings can also be specified in the configuration file. Only
the superuser can forward privileged ports. IPv6 addresses can be
specified by enclosing the address in square brackets.
By default, the local port is bound in accordance with the GatewayPorts
setting. However, an explicit bind_address may be used to bind the
connection to a specific address. The bind_address of “localhost”
indicates that the listening port be bound for local use only, while an
empty address or ‘*’ indicates that the port should be available from
all interfaces.