社内プロキシサーバと踏み台サーバを経由して多段SSH接続

社内プロキシサーバと踏み台サーバを経由して多段SSH接続

社内プロキシサーバと踏み台サーバ経由の多段SSH接続にお悩みの貴方を救いたい
#Amazon EC2
#セキュリティ
#AWS
inomaso

inomaso

facebook logohatena logotwitter logo
Clock Icon2022.05.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!コンサル部のinomaso(@inomasosan)です。

以前、踏み台サーバ経由の多段SSH接続を、ローカル端末の秘密鍵のみで実施する方法をご紹介しました。

今回は、踏み台サーバのフロントに社内プロキシが存在する場合の接続方法をまとめていきます。

検証環境の構成図

EC2はAmazon Linux 2で構築しました。
社内プロキシサーバには、ローカルネットワークかVPNで接続していることが前提となります。

やってみた

クライアント環境

検証環境のクライアント端末のOSは以下の通りです。

項目 バージョン
macOS BigSur 11.6.3

やり方その① ~/.ssh/configに記述

configの書き方は前回とほぼ同様の内容です。
社内プロキシサーバ経由の設定は、ハイライトした行となります。

# ログインするサーバ毎にHostを記載
# Hostの名前は任意で設定可能
Host bastion
  # 踏み台サーバのパブリックIP(DNS名でも指定可能)
  HostName xxx.xxx.xxx.xxx
  # sshポート番号(省略可能)
  Port 22
  # ログインするユーザ名
  User ec2-user
  # 社内プロキシサーバ経由
  ProxyCommand nc -x [社内プロキシサーバのDNS名 or IP]:[社内プロキシサーバのポート] %h %p
  # ローカル端末に保存した、踏み台サーバの秘密鍵のパス指定
  IdentityFile ~/path/bastion.pem

Host private
  # プライベートサーバのプライベートIP(DNS名でも指定可能)
  HostName xxx.xxx.xxx.xxx
  # sshポート番号(省略可能)
  Port 22
  # ログインするユーザ名
  User ec2-user
  # 踏み台サーバを経由してログイン
  ProxyCommand ssh bastion -W %h:%p
  # ローカル端末に保存した、プライベートサーバの秘密鍵のパス指定
  IdentityFile ~/path/private.pem

プライベートサーバには、以下のコマンドで簡単にSSH接続することができます。

ssh private

やり方その② ProxyCommandにてワンライナーでSSH接続

~/.ssh/configを既に利用している等で記述が困難な場合は、以下のコマンドのみでプライベートサーバへSSH接続することも可能です。
ただ、ワンライナーで実行しているため、多少コマンドが複雑になっております。

ssh -o ProxyCommand=\
"ssh -i ~/path/bastion.pem -W %h:%p ec2-user@踏み台サーバのパブリックIP \
-o ProxyCommand='nc -x [社内プロキシサーバのDNS名 or IP]:[社内プロキシサーバのポート] 踏み台サーバのパブリックIP 踏み台サーバのSSHポート'" \
-i ~/path/private.pem ec2-user@プライベートサーバのプライベートIP

ワンライナーのProxyCommandをもっとスマートに書けなかったのか?

以下のように~/.ssh/configと同様なProxyCommandの設定でも検証してみました。

ssh -o ProxyCommand=\
"ssh -i ~/path/bastion.pem -W %h:%p ec2-user@踏み台サーバのパブリックIP \
-o ProxyCommand='nc -x [社内プロキシサーバのDNS名 or IP]:[社内プロキシサーバのポート] %h %p'" \
-i ~/path/private.pem ec2-user@プライベートサーバのプライベートIP

しかし、%h %pはProxyCommandをネストして記載すると文字列の置き換えができないせいか、以下のようなエラーが出力されてしまいました。

nc: read failed (7/10): Broken pipe
kex_exchange_identification: Connection closed by remote host
kex_exchange_identification: Connection closed by remote host

参考ブログ

まとめ

社内プロキシサーバも経由しなくてはいけない場合でも、~/.ssh/configやワンライナーのコマンドでSSH接続できることがわかりました。
~/.ssh/configで記載した方が、SSH接続用のコマンドが簡単になるため、まずはこちらでの設定を検討して頂くのが良いかと思います。

この記事が、どなたかのお役に立てば幸いです。それでは!

Share this article

facebook logohatena logotwitter logo

関連記事

ENA ドライバーのアップグレード時に再起動は発生するか教えてください

ENA ドライバーのアップグレード時に再起動は発生するか教えてください

User avatar
片方 裕人
2024.11.14
作ったのは誰?EC2 インスタンス作成時に作成者を自動でタグ付与してみた

作ったのは誰?EC2 インスタンス作成時に作成者を自動でタグ付与してみた

User avatar
Shiina
2024.11.13
既存のリソース上にTerraformでリソースを追加してみた

既存のリソース上にTerraformでリソースを追加してみた

User avatar
よなみね
2024.11.13
AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.