使用SSH跳板機，連接至內網主機

因安全需求通常會將伺服器網段區分為對內、對外網段，內網主機通常無法直接由 Internet 連入或連出至 Internet 。但因維運需求，需要連線至內網主機時，可經由跳板機在不用上傳KEY的情形下登入內網主機。

一、情境需求。

1. 內網(Private)主機無法直接由外部連入。
2. 僅有開放一台准許22 port連入主機。
3. 問題：如何經由這台Jump server(Bastion Host)，連入內網主機?

二、前置條件。

本次將採用ProxyCommand的方式，也較為安全。

1. 你的個人電腦需要有openssl套件。
2. Windows環境，使用Putty、Xshell可能無法完成該功能。
3. 下載或安裝基於cgywin的套件或軟體。
4. 可安裝mobaxterm。

三、操作方式。

本次將採用mobaxterm做示範。

1. 開啟mobaxterm console，於家目錄建立.ssh 目錄 (在Linux環境那樣)。

2. 建立一個ssh用config文字檔，輸入跳板機與內網主機資訊。

根據上方範例，當我要從外網連線至192.168.1.1主機時，會啟動ProxyCommand指令，經過跳板機後登入內網主機。

由於mobaxterm基於cgywin，模擬unix-like環境及常用的指令。可以在console畫面執行常見的操作。

四、其他QA。

以上的作法，為我經由網路上的參考實作。若有不正確之處還請指正。

Q1.跳板機需要做什麼設定嗎?

A1.不用，需確保有openssl、ssh套件並且可以連線至內網主機。

Q2.網路上為何都用ssh -R -L 相關指令?

A2.該方法為ssh forwarding，跳板機需要做相關設定，操作的情境不同。

Q3.為何新增config檔之後會連線失敗，原本還正常。

A3.注意一下在.ssh目錄底下的權限，openssl套件有要求。config內的連線資訊和對應認證資訊是否正確。

五、參考資料。

https://kknews.cc/code/99gl9ej.html