ポートフォワーディングについて

・sshコマンドでグローバルネットワークから特定のポートを使用（利用）し、ローカルネットワークへの特定のサービス（ポート）へトンネルを張ることで何のメリットと役に立つのでしょうか？２，３あげてもらえると助かります。
ご存知の方、よろしくお願いいたします。

No.1 回答者： lowrider_2005 回答日時： 2006/11/25 20:31

私は、

○社内のサーバ（ssh、http、VNCなど）に外から入れない場合
○データセンターのサーバは社内からしかポートを開いていないが、緊急で自宅からログインする必要がある
○プロキシ代わりとして（動作試験時などに）
等の場合に、社内にゲートウエイになっているUNIX経由でポートフォワーディングしています。
メリットというより、そうするしか方法がないからというほうが正しいかも。

No.2 回答者： onosuke 回答日時： 2006/11/25 22:37

sshのポートフォワーディングは、何かを行う際の手段の一つに過ぎません。

そのため、そのメリットも、ほぼ質問文にあるとおりです。
　「sshにログイン可能なユーザだけが、グローバルネットワークからローカルネットワークへの特定のサービス（ポート）へトンネルを張ることができる」

これを裏返して書くと次のようになります。
「sshにログインできないユーザは、グローバルネットワークからローカルネットワークにトンネルを張ることができない」

これに基本となるsshのメリットが加わりますが、
さて、ssh自体のメリットは何でしょう？
# 暗号化、ユーザ認証、標準化技術、etc...

最後に、今回の質問に関して、逆に私が疑問に思うところがあります。
「何故トンネルを張る必要があるのか？」
直接接続できるなら、トンネルを張る必要はないでしょう。
何か直接接続できない理由があるのでしょうか？
もし、直接接続できない理由があるならば、その理由も含めて考える必要がありますよね。

この回答への補足

onosukeさん、ご回答ありがとうございます。

>「何か直接接続できない理由があるのでしょうか？」
そういうことではありません。
ssh コマンドでポートフォワーディングする場合に
【ssh -L 1234:hostA:22 user@hostA】
http://www.sb.soft.iwate-pu.ac.jp/~g031z126/memo …
というようなコマンドを打つと思います。
一気にゲートウェイからローカルホストへログインするのではなく、一度sshでゲートウェイにログインし、そこからまたsshでローカルホストへログインするといった方法はできないのかと思っただけです。
どうやらポートフォワーディングするためにこのようなコマンドが用意されていて、こういうセッションの張り方が仕様のようですね。

補足日時：2006/11/26 01:18

No.3 回答者： oi_goo 回答日時： 2006/11/26 03:29

使用している環境(機器構成)次第だと思います．

G/Wへログインできsshが実行できるならば(そういうことが可能なG/Wであれば)，
一旦G/Wにログインしその後ローカルホストへログインするのも可能だと思います．

昔と違い今は外部から手軽にアクセスできる時代なので外部->内部への接続に関し，
Firewallでは22番ポートを空け，外部からアクセスできる踏み台サーバ(G/W)で
ユーザ認証(管理)し，踏み台サーバ(G/W)経由で内部サーバを使わせる，という手は
ありがちですね．
# Firewallでユーザ認証しても良いのですが最近そういう製品減ったなぁ…．

そういう場合だと「例2 (ファイアーウォールの外から内部へアクセス可能)」の
コマンドラインが威力を発揮します．
# 例1は例2の前振り

No.4 ベストアンサー 回答者： onosuke 回答日時： 2006/11/26 04:33

したり、ようやく質問の意図が分かりました、

「トンネルのメリットや必要性が分からない」という話ですね。

ssh程度であれば、GW上からさらにsshすることで対処可能なので
No.3のように普通トンネルを利用しません。(踏み台方式)
# sshで入れるところは、sshコマンドが利用できる暗黙の前提…

しかし、例えば、「WebUIの管理コンソール」や「手元端末上で動作するアプリ」等は手元端末から目的のサーバまで一本道でコネクションを張る必要があります。
このように一本道のコネクションが必要なのに、直接接続が行えない場合には、「トンネルを張ること（トンネリング方式）」が必要であり、SSHのポートフォワーディングはトンネリング方式の一選択肢です。

他のトンネリング方式としては、VPNでネットワークごとトンネルを張ってしまう方法も一般的ですね。

「手元端末上で動作するアプリ」は、
・Windows系ならリモートデスクトップ
・ヘタレOracle管理者ならEnterpriseManager
・手抜きLDAP管理者ならLDAP Browser
・その他色々
端末上で動作する管理アプリは全て該当します。

No.5 回答者： oi_goo 回答日時： 2006/11/26 15:59

#3 です．

#4 さんでもう答えが出てますが．

やっぱりやりたいことが「遠くのホストへssh」という例がピンとこないんですかね．


tty1# ssh -L 1234:pophostB:110 user@hostA

tty2# telnet localhost 1234　　(telnet じゃなくメールソフトでも良いけど)
tty2 quit

※hostA：ここでいうG/Wホスト


・「GUI使えないとイヤン」ならVNC


> No.3のように普通トンネルを利用しません。(踏み台方式)
否定なのか，肯定なのだろうか…．う～ん…．