Есть отличный ответ, объясняющий использование ProxyCommand директива конфигурации для SSH:

Добавьте это в свой ~/.ssh/config (видеть man 5 ssh_config для получения дополнительной информации):

Host host2
  ProxyCommand ssh host1 -W %h:%p

затем ssh host2 будет автоматически проходить через host1 (также работает с переадресацией X11 и т. д.).

Это также работает для всего класса хостов, например. идентифицированные по домену:

Host *.mycompany.com
  ProxyCommand ssh gateway.mycompany.com -W %h:%p

Обновить

OpenSSH 7.3 вводит  ProxyJump , упрощая первый пример для

Host host2
  ProxyJump host1

У нас есть один шлюз ssh в нашей частной сети. Если я нахожусь снаружи и хочу удаленную оболочку на машине внутри частной сети, мне придется ssh войти в шлюз, а оттуда на частную машину.

Чтобы автоматизировать эту процедуру, я использую следующий скрипт:

#!/bin/bash
ssh -f -L some_port:private_machine:22 user@gateway "sleep 10" && ssh -p some_port private_user@localhost

Что происходит:

1. Установите туннель для протокола ssh (порт 22) на частную машину.
2. Только если это успешно, ssh в частную машину, используя туннель. (работает && operater).
3. После закрытия частной сессии ssh я хочу, чтобы туннель ssh тоже закрывался. Это делается с помощью трюка «sleep 10». Обычно первая команда ssh закрывается через 10 секунд, но в течение этого времени вторая команда ssh установит соединение с использованием туннеля. В результате первая команда ssh удерживает туннель открытым до тех пор, пока не будут выполнены следующие два условия: сон 10 завершен и туннель больше не используется.

Прочитав выше и склеив все вместе, я создал следующий скрипт Perl (сохраните его как mssh в / usr / bin и сделайте его исполняемым):

#!/usr/bin/perl

$iport = 13021;
$first = 1;

foreach (@ARGV) {
  if (/^-/) {
    $args .= " $_";
  }
  elsif (/^((.+)@)?([^:]+):?(\d+)?$/) {
    $user = $1;
    $host = $3;
    $port = $4 || 22;
    if ($first) {
      $cmd = "ssh ${user}${host} -p $port -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $first = 0;
    }
    else {
      $cmd .= " -L $iport:$host:$port";
      push @cmds, "$cmd -f sleep 10 $args";
      $cmd = "ssh ${user}localhost -p $iport -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $iport ++;
    }
  }
}
push @cmds, "$cmd $args";

foreach (@cmds) {
  print "$_\n";
  system($_);
}

Применение:

Для доступа к HOSTC через HOSTA и HOSTB (тот же пользователь):

mssh HOSTA HOSTB HOSTC

Чтобы получить доступ к HOSTC через HOSTA и HOSTB, используйте неиспользуемые SSH-порты и разные пользователи:

mssh user1@HOSTA:1234 user2@HOSTB:1222 user3@HOSTC:78231

Чтобы получить доступ к HOSTC через HOSTA и HOSTB и использовать X-forwarding:

mssh HOSTA HOSTB HOSTC -X

Для доступа к порту 8080 на HOSTC через HOSTA и HOSTB:

mssh HOSTA HOSTB -L8080:HOSTC:8080

OpenSSH v7.3 поддерживает -J переключатель и ProxyJump вариант, который позволяет одному или нескольким разделенным запятыми узлам перехода, поэтому вы можете просто сделать это сейчас:

ssh -J jumpuser1@jumphost1,jumpuser2@jumphost2,...,jumpuserN@jumphostN user@host

Этот ответ похож на kynan, поскольку он включает использование ProxyCommand. Но удобнее использовать ИМО.

Если у вас есть netcat, установленный в ваших хмелевых машинах, вы можете добавить этот фрагмент к своему ~ / .ssh / config:

Host *+*
    ProxyCommand ssh $(echo %h | sed 's/+[^+]*$//;s/\([^+%%]*\)%%\([^+]*\)$/\2 -l \1/;s/:/ -p /') nc $(echo %h | sed 's/^.*+//;/:/!s/$/ %p/;s/:/ /')

затем

ssh -D9999 host1+host2 -l username

будет делать то, что вы просили.

Я приехал сюда, ища оригинальное место, где я прочитал этот трюк. Я отправлю ссылку, когда найду ее.

ssh -L 9999:host2:80 -R 9999:localhost:9999 host1

-L 9999: host2: 80

Средство связывается с localhost: 9999 и любым пакетом, отправленным на localhost: 9999 пересылает его на host2: 80

-R 9999: localhost: 9999

Означает любой пакет, полученный хостом1: 9999, пересылает его обратно в localhost: 9999

вы должны иметь возможность использовать переадресацию портов для доступа к службе на host2 из localhost, Хорошее руководство расположено Вот, Выдержка:

Существует два типа переадресации портов: локальная и удаленная переадресация. Они также называются исходящими и входящими туннелями, соответственно. Локальная переадресация портов перенаправляет трафик, поступающий на локальный порт к указанному удаленному порту.

Например, если вы выдаете команду

ssh2 -L 1234:localhost:23 username@host

весь трафик, поступающий на порт 1234 на клиенте, будет перенаправлен в порт 23 на сервере (хост). Обратите внимание, что localhost будет разрешен sshdserver после установления соединения. В этом случае localhost поэтому ссылается на сам сервер (хост).

Удаленная переадресация портов делает обратное: он перенаправляет трафик, поступающий на удаленный порт в указанный локальный порт.

Например, если вы выдаете команду

ssh2 -R 1234:localhost:23 username@host

весь трафик, который поступает на порт 1234 на сервере (хост), будет перенаправлен в порт 23 на клиенте (localhost).

В вашем броске замените localhost в примере с host2 а также host с host1,

Я сделал то, что я думать вы хотели сделать

ssh -D 9999 -J host1 host2

Мне подскажут оба пароля, затем я могу использовать localhost: 9999 для прокси-сервера SOCKS для host2. Это самое близкое, что я могу представить на примере, который вы показали в первую очередь.

В этом ответе я рассмотрю конкретный пример. Вам просто нужно заменить имена хостов компьютеров, имена пользователей и пароли.

Постановка задачи

Предположим, что у нас есть следующая сетевая топология:

our local computer <---> server 1 <---> server 2

Ради конкретности предположим, что у нас есть имена хостов, имена пользователей и пароли следующих компьютеров:

LocalPC            <--->  hostname: mit.edu         <---> hec.edu
                          username: bob                   username: john 
                          password: dylan123              password: doe456

Цель: мы хотим настроить прокси-сервер SOCKS, который прослушивает порт 9991 из LocalPC так что каждый раз LocalPC инициируется из порта 9991 он проходит mit.edu тогда hec.edu,

Пример использования: hec.edu имеет HTTP-сервер, доступный только на http://127.0.0.1:8001, из соображений безопасности. Мы хотели бы иметь возможность посетить http://127.0.0.1:8001 открыв веб-браузер на LocalPC,

конфигурация

В LocalPC, добавить в ~/.ssh/config:

Host HEC
    HostName hec.edu
    User john
    ProxyCommand ssh bob@mit.edu -W %h:%p

Тогда в терминале LocalPC, бег:

ssh -D9991 HEC

Он попросит вас пароль bob на mit.edu (Т.е. dylan123), то он будет запрашивать у вас пароль john на hec.edu (Т.е. doe456).

В этот момент прокси-сервер SOCKS теперь работает на порту 9991 из LocalPC,

Например, если вы хотите посетить веб-страницу LocalPC используя прокси SOCKS, вы можете сделать в Firefox:

Некоторые замечания:

• в ~/.ssh/config, HEC это имя соединения: вы можете изменить его на все, что хотите.
• -D9991 говорит ssh настроить прокси-сервер SOCKS4 на порт 9991,