DEV Community: Jiw Jiw The latest articles on DEV Community by Jiw Jiw (@jiwjiw). https://dev.to/jiwjiw https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F308906%2F6cfecc2f-18ae-475d-a2ee-91f1e98d0b23.jpg DEV Community: Jiw Jiw https://dev.to/jiwjiw en ssh ผ่าน squid proxy ไป aws Jiw Jiw Sun, 31 May 2020 07:33:14 +0000 https://dev.to/jiwjiw/ssh-squid-proxy-17no https://dev.to/jiwjiw/ssh-squid-proxy-17no <p>... สวัสดีครับ วันนี้ผมจะมาพูดถึงเรื่อง network ที่ทุกๆที่ มักมีท่าแปลกๆให้ access เข้าระบบ แบบนั้นแบบนี้ก็ว่ากันไป "เพื่อความเหมาะสม" ทาง security หรืออะไรก็ตามแต่ และสิ่งที่ตามมาคือทีม infra หรือ developer อย่างเราๆ นี่สิทำงานยาก เ_ี่ยๆ ..<br> ... เรื่องมีอยู่ว่า.. "ย้ำนะครัช ว่านี่เหตุการณ์สมมติ" ใครที่คิดเยอะ! ขอผ่านได้เลยครับ...<br> ... มี server อยู่บน aws แต่มีบาง account หรือ vpc หรือ subnet ที่ไม่ให้เชื่อมต่อ internet หรือทำการ remote เข้าไปใน zone พิเศษได้ พูดง่ายๆคือ ไม่ยอมให้ ssh remote กันง่ายๆ ไม่ยอมให้ client รีโมทตรงๆ ต้องผ่านสักอย่างมาก่อน จะ vpn ,Bastion host หรือ proxy หรืออะไรก็ได้ แต่ห้ามรีโมตตรงๆ .. ทางทีมได้ทำการปรึกษากัน และก็ได้ข้อตกลงว่า หากจะ remote ssh ไปล่ะก็ ให้ผ่าน proxy เท่านั้น เพราะขาที่เป็น aws จะ allow ให้เฉพาะ Proxy มันจะคร่าวๆดังภาพ</p> <p><a href="https://media.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F05eambqwa3l0atm3m0w2.jpg" class="article-body-image-wrapper"><img src="https://media.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F05eambqwa3l0atm3m0w2.jpg" alt="Alt Text"></a></p> <p>โอเคร เราลองมา test กัน ในที่นี้ผมจะ สมมติ ให้<br> VM-Proxy 10.11.0.11 คือ Proxy (Squid proxy) <br> EC2 172.31.31.213 คือ Private ip ที่เราอยาก ssh ไป</p> <p>และ กำหนดให้ VM-Proxy สามารถไปหา EC2 ได้(มันต่อ Private Link)</p> <ol> <li>เริ่ม Install Squid Proxy ( Centos7 ) </li> </ol> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>$&gt; yum update -y $&gt; yum install squid $&gt; systemctl start squid $&gt; systemctl enable squid </code></pre> </div> <ol> <li>edit config squid </li> </ol> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>$&gt; vi /etc/squid/squid.conf เพิ่ม acl internet src 10.109.10.101 # &lt;== จะ Allow ให้ ip ไหนใช้ proxy ได้บ้าง เพิ่มบรรทัดนี้ พวกนี้ อันนี้เป็น ip เครื่องผมคนเดียวก็ใส่ /32 ไป acl localnet src 172.16.0.0/12 acl localnet src 192.168.0.0/16 และ acl SSL_ports port 443 acl SSL_ports port 22 #ssh &lt;== ตรงนี้ acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ssh/sftp &lt;== กับตรงนี้ </code></pre> </div> <p>จากนั้น ก็ Restart service<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>$&gt; service squid restart </code></pre> </div> <p>เป็นอันเสร็จสิ้น </p> <p>จากนั้นลอง ssh ด้วย command<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>$&gt; ssh -oProxyCommand='nc -X connect -x 10.11.0.11:3128 %h %p' ubuntu@172.31.31.213 </code></pre> </div> <p>เหตุการณ์ทั้งหมด เป็นเรื่องสมมติ หวังว่าหลายๆท่านจะนำไปประยุกต์ใช้งานได้ครับ</p>