SSH'ı çoğu insan yalnızca "uzak sunucuya komut satırıyla bağlanma aracı" olarak tanır. Oysa aynı bağlantının içinden başka trafiği taşımak, yani gerçek bir VPN kurmadan noktadan noktaya şifreli bir tünel açmak da mümkündür. Sunucu yönetiminde yıllar geçirmiş biri olarak size şunu rahatlıkla söyleyebilirim: SSH tüneli, doğru kullanıldığında ekstra bir yazılım kurmadan onlarca güvenlik ve erişim sorununu çözen İsviçre çakısı gibidir. Kapalı bir veritabanı portuna erişmek, bir servisi internete güvenli açmak ya da halka açık bir Wi-Fi ağında tarama trafiğini korumak; bunların hepsi tek bir SSH komutuyla halledilebilir.
Bu rehberde SSH tünelinin nasıl çalıştığını, üç temel port yönlendirme türünü (yerel -L, uzak -R ve dinamik -D) ayrı ayrı örneklerle göstereceğiz. Ardından gerçek dünyadan iki senaryoyu ele alacağız: yalnızca yerel ağdan erişilebilen bir veritabanına dışarıdan güvenli bağlanmak ve güvenilmez bir ağda tüm tarama trafiğini şifreli bir kanaldan geçirmek. Konu ağ ve güvenlik olduğu için temel kavramlarda zorlanıyorsanız önce SSH bağlantısı ve güvenliği yazımıza göz atmanızı öneririm; oradaki anahtar tabanlı kimlik doğrulama alışkanlıkları bu rehberin de temelini oluşturur.
SSH Tüneli Nedir ve Nasıl Çalışır?#
SSH tüneli, sizinle uzak sunucu arasında zaten kurulmuş olan şifreli SSH oturumunun içinden ek bir TCP bağlantısını taşımaktır. Normalde SSH oturumu klavye ve ekran trafiğini (terminal) taşır; port yönlendirme ise aynı şifreli kanala ikinci bir veri akışı ekler. Örneğin yerel makinenizdeki 127.0.0.1:5432 adresine bir uygulama bağlandığında, bu trafik SSH tarafından şifrelenip uzak sunucuya iletilir ve orada gerçek hedefe (diyelim PostgreSQL) açılır. Uygulama tünelin varlığından habersizdir; kendince yerel bir porta konuşur.
Bu yaklaşımın gücü, taşınan trafiğin uçtan uca SSH'ın kriptografisiyle korunmasıdır. Aradaki ağın güvenilir olup olmadığı önemli değildir; paketler SSH tünelinden çıkana kadar okunamaz. Ayrıca hedef servisin kendisinin şifreleme desteği olması gerekmez. Şifresiz konuşan eski bir servisin (örneğin bir iç API ya da düz metin veritabanı protokolü) trafiğini bile SSH tüneline sokarak koruma altına alabilirsiniz.
SSH üç farklı yönlendirme kipi sunar ve karışıklığın çoğu bu üçünü ayırt edememekten kaynaklanır. Aşağıdaki tablo hangi kipin ne işe yaradığını özetliyor:
| Kip | Bayrak | Dinleyen taraf | Tipik kullanım |
|---|---|---|---|
| Yerel (local) | -L | İstemci makinesi | Uzaktaki kapalı bir servise yerelden erişmek |
| Uzak (remote) | -R | Sunucu tarafı | Yereldeki bir servisi dışarıya/sunucuya açmak |
| Dinamik (dynamic) | -D | İstemci makinesi | SOCKS proxy ile tüm trafiği tünellemek |
Bu ayrımı bir kere kavradığınızda geri kalan her şey ayrıntıdır. Şimdi her birini gerçekçi örneklerle inceleyelim.
Yerel Port Yönlendirme (-L): Uzaktaki Servisi Yerelinize Getirmek#
Yerel yönlendirme en sık kullanılan kiptir. Mantığı şudur: kendi makinenizde bir port açarsınız, bu porta gelen her şey SSH sunucusu üzerinden belirlediğiniz bir hedefe iletilir. Klasik örnek, sadece sunucunun localhost arayüzünde çalışan ve dış dünyaya kapalı bir yönetim panelidir. Diyelim sunucunuzda phpMyAdmin ya da bir izleme aracı 127.0.0.1:8080 üzerinde çalışıyor ama güvenlik gereği firewall bu portu dışarı açmıyor.
Aşağıdaki komut, yerel 8080 portunuzu sunucunun kendi içindeki 127.0.0.1:8080 adresine bağlar:
ssh -L 8080:127.0.0.1:8080 [email protected]
Komut bağlantıyı kurduktan sonra tarayıcınızda http://localhost:8080 adresine giderseniz, aslında sunucunun içindeki servisi görürsünüz; trafiğiniz SSH tünelinden akar. Buradaki söz diziminde -L bayrağından sonra [yerel_port]:[hedef_host]:[hedef_port] biçimi geçerlidir. hedef_host ifadesinin SSH sunucusunun bakış açısıyla çözümlendiğini unutmayın: 127.0.0.1 burada sunucunun kendisidir, sizin makineniz değil.
Hedef başka bir makine de olabilir. Örneğin SSH sunucusu bir "atlama tahtası" (bastion host) ise ve asıl veritabanı iç ağdaki 10.0.0.5 adresindeyse:
ssh -L 5432:10.0.0.5:5432 [email protected]
Bu durumda yerel 5432 portuna gelen trafik önce bastion sunucusuna gider, oradan iç ağdaki veritabanına iletilir. Yerel port hangi arayüzde dinlesin sorusu da önemlidir. Varsayılan olarak SSH yalnızca 127.0.0.1 üzerinde dinler, yani tünele yalnızca kendi makineniz erişebilir. Tüneli aynı ağdaki başka cihazlara açmak isterseniz bind adresini açıkça belirtmeniz gerekir:
ssh -L 0.0.0.0:8080:127.0.0.1:8080 [email protected]
Bu son biçimi dikkatli kullanın; tüneli açık bir arayüze bağlamak, o ağdaki herkesin kimlik doğrulaması olmadan hedef servise ulaşabilmesi demektir. Ofis ağında bile bunu yapmadan önce iki kez düşünün.
Uzak Port Yönlendirme (-R): Yerel Servisi Dışarıya Açmak#
Uzak yönlendirme, yerel yönlendirmenin ayna görüntüsüdür. Bu kez dinleyen taraf sunucudur: sunucuda bir port açılır ve o porta gelen trafik SSH tünelinden geçip sizin tarafınızdaki bir hedefe iletilir. En yaygın senaryo, kendi bilgisayarınızda ya da yerel ağınızda çalışan bir servisi geçici olarak dış dünyaya göstermektir. Örneğin bilgisayarınızda 3000 portunda bir geliştirme sunucusu çalışıyor ve bunu bir müşteriye ya da webhook servisine göstermeniz gerekiyor.
ssh -R 9000:localhost:3000 [email protected]
Bu komuttan sonra sunucunun 9000 portuna gelen istekler, tünel üzerinden sizin makinenizdeki localhost:3000 adresine ulaşır. Böylece dış IP'si olmayan, NAT arkasındaki bir makineyi bile geçici olarak erişilebilir kılabilirsiniz. Söz dizimi -R [uzak_port]:[hedef_host]:[hedef_port] biçimindedir ve hedef_host bu kez SSH istemcisinin (sizin) bakış açınızdan çözümlenir.
Burada dikkat edilmesi gereken bir davranış vardır: varsayılan yapılandırmada sunucuda açılan port yalnızca 127.0.0.1 üzerinde dinler. Yani tünele yalnızca sunucunun kendisi erişebilir. Portu sunucunun dış arayüzünde de dinletmek isterseniz sunucudaki /etc/ssh/sshd_config dosyasında GatewayPorts ayarını değiştirmeniz gerekir:
# /etc/ssh/sshd_config
GatewayPorts clientspecified
clientspecified değeri, istemcinin bind adresini kendisinin belirlemesine izin verir ve yes gibi topyekûn açık bir ayardan daha güvenlidir. Değişikliğin ardından SSH servisini yeniden başlatmayı unutmayın. Uzak yönlendirmeyi bir servisi kalıcı olarak internete açmak için kullanmayı düşünüyorsanız, önünde mutlaka bir ters proxy ve güvenlik katmanı olmalıdır; bu tür senaryolarda WAF web uygulama güvenlik duvarı ve DDoS koruma hizmetleri, açığa çıkan servisi kötü niyetli trafikten korumak için ciddi bir fark yaratır.
Dinamik Port Yönlendirme (-D): SSH ile SOCKS Proxy#
Dinamik yönlendirme, tek bir hedefe değil, çok sayıda hedefe akıllıca yönlendirme yapmanızı sağlar. -D bayrağıyla SSH, yerelinizde bir SOCKS proxy açar. Bu proxy'e konuşan uygulamalar hangi adrese gitmek istediklerini SOCKS protokolüyle bildirir, SSH de o bağlantıları sunucu üzerinden kurar. Yani her yeni hedef için ayrı bir -L kuralı yazmanıza gerek kalmaz; tüm çıkış trafiği sunucunuzun IP'sinden çıkar.
ssh -D 1080 [email protected]
Bu komut yerelinizde 1080 portunda bir SOCKS5 proxy başlatır. Ardından tarayıcınızı ya da uygulamanızı bu proxy'i kullanacak şekilde ayarlarsınız. Komut satırından test etmek için curl şunu kullanabilirsiniz:
curl --socks5-hostname 127.0.0.1:1080 https://ifconfig.me
--socks5-hostname seçeneği önemlidir çünkü DNS çözümlemesinin de proxy üzerinden, yani sunucu tarafında yapılmasını sağlar. Aksi halde ziyaret ettiğiniz alan adları sizin yerel DNS'inize sızabilir ve bu bir gizlilik açığı oluşturur. Tarayıcı tarafında da aynı prensip geçerlidir; Firefox'ta "Proxy DNS when using SOCKS v5" seçeneğini işaretlemek gerekir.
Dinamik yönlendirmenin en güzel yanı esnekliğidir. Tek bir tünelle, sunucunuzun erişebildiği tüm iç kaynaklara ulaşabilir, coğrafi olarak sunucunuzun bulunduğu yerden çıkıyormuş gibi tarayabilirsiniz. Bir sonraki bölümde tam olarak bu senaryoyu ele alacağız.
Senaryo: Uzak Veritabanına Güvenli Bağlanmak#
Bu, sunucu yönetiminde belki de en sık karşılaştığım ihtiyaçtır. İyi yapılandırılmış bir sunucuda veritabanı (PostgreSQL, MySQL, MongoDB, Redis) asla doğrudan internete açılmaz; yalnızca 127.0.0.1 ya da özel ağ üzerinden dinler. Bu doğru bir güvenlik uygulamasıdır, ancak masaüstünüzdeki bir yönetim aracıyla (DBeaver, TablePlus, pgAdmin) veritabanına bağlanmanız gerektiğinde bir sorun doğar. Çözüm, veritabanı portunu firewall'da açmak değil, yerel port yönlendirmedir.
PostgreSQL örneği üzerinden gidelim. Sunucuda PostgreSQL 5432 portunda ama yalnızca localhost'ta dinliyor. Şu komutla yerel 5433 portunuzu sunucudaki veritabanına bağlarsınız:
ssh -L 5433:127.0.0.1:5432 [email protected] -N
Buradaki -N bayrağı "komut çalıştırma, yalnızca tüneli kur" anlamına gelir; interaktif bir kabuk açmadan sadece yönlendirmeyi ayakta tutar. Artık masaüstü aracınıza bağlantıyı şu şekilde tanımlarsınız: host 127.0.0.1, port 5433, kullanıcı ve veritabanı adı sunucudaki gerçek değerler. Araç sanki yerel bir veritabanına bağlanıyormuş gibi davranır, oysa trafik SSH tünelinden akar.
Komut satırından da aynı tünel üzerinden bağlanabilirsiniz:
-- Tünel ayaktayken, ayrı bir terminalde:
-- psql -h 127.0.0.1 -p 5433 -U app_user -d uygulama_db
SELECT current_database(), inet_server_addr();
Bu yöntemin en büyük avantajı, veritabanı portunu hiçbir zaman internete açmamış olmanızdır. Kaba kuvvet denemelerine, açık port taramalarına ve sıfırıncı gün veritabanı açıklarına karşı en iyi savunma, o portun dışarıdan hiç görünmemesidir. SSH tüneli tam olarak bunu sağlar: erişim yalnızca SSH kimlik doğrulamasını geçebilenlere açıktır. Bu prensibi diğer servislerinize de yaymak için sunucu güvenliği temelleri yazımızdaki en az ayrıcalık ilkesini gözden geçirmenizi öneririm.
Aşağıdaki tablo, veritabanına üç farklı erişim yönteminin güvenlik profilini karşılaştırıyor:
| Yöntem | Portu internete açar mı? | Şifreli mi? | Ek yapılandırma |
|---|---|---|---|
| Doğrudan bağlantı (port açık) | Evet | Servise bağlı | Firewall kuralı |
SSH tüneli (-L) | Hayır | Evet (SSH) | Yalnızca SSH erişimi |
| VPN üzerinden | Hayır | Evet | VPN altyapısı gerekir |
Tek bir veritabanına erişim için VPN kurmak çoğu zaman aşırıya kaçar; SSH tüneli aynı güvenlik seviyesini sıfır ek altyapıyla sunar.
Senaryo: Güvenilmez Ağda Güvenli Tarama#
İkinci senaryomuz gizlilik ve güvenlikle ilgili. Havalimanı, kafe ya da otel gibi halka açık bir Wi-Fi ağına bağlandığınızı düşünün. Bu ağlarda trafiğinizi dinleyen, araya giren ya da DNS'inizi kurcalayan biri olabilir. Güvendiğiniz bir sunucunuz varsa, tüm tarama trafiğinizi dinamik SSH tüneliyle o sunucudan geçirerek bu riskleri büyük ölçüde ortadan kaldırabilirsiniz. Sunucunuzla aranızdaki her şey SSH ile şifrelenir; yerel ağdaki hiç kimse ne ziyaret ettiğinizi göremez.
Önce SOCKS proxy tünelini açarsınız:
ssh -D 1080 -N -C [email protected]
Buradaki -C bayrağı sıkıştırmayı etkinleştirir; yavaş bağlantılarda metin ağırlıklı içerikte fark yaratabilir, ancak zaten sıkıştırılmış medya trafiğinde faydası azdır. -N yine yalnızca tünel kurar. Şimdi işletim sistemi düzeyinde ya da tarayıcı düzeyinde bu SOCKS proxy'i kullanmanız yeterli. Belirli komutlar için de tünelden geçebilirsiniz:
# Tüm apt trafiğini tünelden geçirmek için örnek
export ALL_PROXY=socks5h://127.0.0.1:1080
curl https://kontrol.ornek.com/ip
socks5h şemasındaki h harfi yine DNS çözümlemesinin sunucu tarafında yapılmasını sağlar. Bu ayrıntıyı atlarsanız, şifreli trafiğinizin yanında sızan DNS sorguları güvenilmez ağdaki bir izleyiciye hangi siteleri ziyaret ettiğinizi ele verir.
Şunu da netleştirelim: SSH SOCKS tüneli tam bir VPN değildir. Yalnızca proxy'i kullanacak şekilde ayarladığınız uygulamaların trafiğini taşır; sistemdeki diğer uygulamalar hâlâ doğrudan çıkabilir. Ayrıca UDP tabanlı protokollerin çoğu SOCKS üzerinden düzgün akmaz. Buna rağmen tarayıcı ve komut satırı işlerinin ezici çoğunluğu için fazlasıyla yeterli, hızlı kurulan ve ek yazılım gerektirmeyen bir çözümdür. Kendinize ait, kaynakları izole güvenilir bir çıkış noktası için VDS sunucu ya da sanal sunucu paketleri bu iş için ideal bir temel oluşturur.
Kalıcı ve Sağlam Tüneller Kurmak#
Elle açtığınız bir tünel, bağlantı koptuğunda ya da bilgisayarınız uykuya geçtiğinde kaybolur. Üretim ortamında ya da düzenli kullandığınız tünellerde bunu otomatikleştirmek gerekir. En temel iyileştirme, tekrar eden komutları ~/.ssh/config dosyasına taşımaktır. Böylece uzun komutları ezberlemek yerine kısa bir takma adla tüneli açarsınız:
# ~/.ssh/config
Host db-tunel
HostName sunucu.ornek.com
User kullanici
LocalForward 5433 127.0.0.1:5432
IdentityFile ~/.ssh/id_ed25519
ServerAliveInterval 30
ServerAliveCountMax 3
Bu yapılandırmadan sonra ssh -N db-tunel komutu, yukarıdaki uzun -L komutunun tamamını çalıştırır. ServerAliveInterval ve ServerAliveCountMax satırları, sessiz kalan bir bağlantının atıl kalıp yavaşça ölmesini engeller; SSH belirli aralıklarla canlılık paketi gönderir ve karşı taraf yanıt vermezse bağlantıyı temiz bir şekilde kapatır.
Bağlantı koptuğunda tüneli otomatik yeniden kuran bir araç için autossh idealdir. Kurulumu tek satırdır ve ssh ile neredeyse aynı bayrakları alır:
autossh -M 0 -f -N -L 5433:127.0.0.1:5432 [email protected]
-M 0 izleme portunu devre dışı bırakıp bunun yerine SSH'ın kendi ServerAlive mekanizmasına güvenmesini söyler, -f süreci arka plana atar. Sunucu düzeyinde bir tünelin makine yeniden başladığında bile ayağa kalkmasını istiyorsanız, onu bir systemd servisine dönüştürmek en sağlam yoldur:
# /etc/systemd/system/db-tunel.service (özet gösterim)
Unit:
Description: Kalici SSH tuneli
After: network-online.target
Service:
ExecStart: /usr/bin/autossh -M 0 -N -L 5433:127.0.0.1:5432 [email protected]
Restart: always
RestartSec: 10
User: tunnel
Bu servisi systemctl enable --now db-tunel ile etkinleştirdiğinizde tünel bir altyapı bileşeni gibi davranır: çöktüğünde kendini toparlar, sunucu yeniden başladığında otomatik açılır. Bu tür yapılandırmaları kendiniz yönetmek istemiyorsanız sunucu yönetimi hizmetimiz kapsamında ekibimiz bu kalıcı tünelleri ve güvenlik ayarlarını sizin için kurup izler.
Güvenlik, Sınırlamalar ve İyi Uygulamalar#
SSH tüneli güçlü olduğu kadar dikkatli kullanılması gereken bir araçtır. En önemli kural, tünelin ancak SSH erişiminiz kadar güvenli olmasıdır. Anahtar tabanlı kimlik doğrulama, güçlü passphrase ve iki faktörlü doğrulama kullanmıyorsanız, açtığınız her tünel bu zayıflığı taşır. Bu yüzden tünellemeye geçmeden önce SSH erişiminizi sağlamlaştırmanız şarttır; parola girişini kapatmak, root ile doğrudan girişi engellemek ve fail2ban benzeri bir kaba kuvvet koruması eklemek asgari beklentidir.
İkinci önemli nokta, uzak yönlendirmeyle (-R) bir servisi dışarı açtığınızda saldırı yüzeyini büyütmüş olmanızdır. Yerelinizde çalışan ve internete açmayı planlamadığınız bir geliştirme sunucusunu GatewayPorts ile herkese açtığınızda, o servisin tüm güvenlik açıkları artık uzaktan sömürülebilir hale gelir. Böyle bir servisi kalıcı yayına almadan önce mutlaka önüne bir kimlik doğrulama katmanı, hız sınırlaması ve mümkünse bir güvenlik duvarı koyun.
Kurumsal ortamlar için bir uyarı daha: SSH tünelleri, kısıtlayıcı ağ politikalarını atlatmak için de kullanılabilir, bu da onları bazı güvenlik ekipleri için bir kaygı kaynağı yapar. Kendi sunucularınızı yönetiyorsanız sshd_config içinde AllowTcpForwarding ve PermitTunnel ayarlarıyla hangi kullanıcıların tünel açabileceğini kısıtlayabilirsiniz. Örneğin yalnızca dosya aktarımı için hesap açtığınız bir kullanıcının tünel kurmasına gerek yoktur:
# /etc/ssh/sshd_config — belirli kullanicilar icin kisitlama
Match User yedekleme
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
Son olarak, tünellerin izlenebilir ve denetlenebilir olması gerektiğini unutmayın. Uzun süre ayakta duran, kimin ne için açtığı belli olmayan tüneller bir zamandan sonra unutulan arka kapılara dönüşebilir. Aktif tünelleri düzenli gözden geçirmek, gereksizleri kapatmak ve kalıcı olanları systemd gibi merkezî bir yerde belgelemek sağlıklı bir alışkanlıktır. Güçlü SSH hijyeni, düzenli yedekleme ve katmanlı güvenlik bir araya geldiğinde, tüneller riskten çok kolaylık kaynağı olur.
Sıkça Sorulan Sorular#
SSH tüneli ile VPN arasındaki fark nedir?#
SSH tüneli belirli portları ya da uygulamaları tünelleyen noktasal bir çözümdür, VPN ise tüm sistem trafiğini işletim sistemi düzeyinde yönlendiren daha kapsamlı bir katmandır. SSH tüneli hızlı kurulur ve ek yazılım gerektirmez, ancak yalnızca yapılandırdığınız uygulamaların TCP trafiğini taşır ve UDP'yi genelde desteklemez. Sürekli, tüm cihazı kapsayan bir gizlilik ve erişim ihtiyacınız varsa VPN daha uygundur; tek bir veritabanına ya da servise güvenli erişim içinse SSH tüneli çok daha pratiktir.
Yerel yönlendirme (-L) ve uzak yönlendirme (-R) arasında nasıl seçim yaparım?#
Kararı hangi tarafın dinlemesini istediğinize göre verirsiniz. Uzaktaki kapalı bir servise kendi makinenizden erişmek istiyorsanız yerel yönlendirme (-L) kullanırsınız; bu durumda dinleyen taraf sizsiniz. Kendi tarafınızdaki bir servisi sunucuya ya da dış dünyaya açmak istiyorsanız uzak yönlendirme (-R) kullanırsınız; bu kez dinleyen taraf sunucudur. Kısaca "veriyi kendime çekiyorum" diyorsanız -L, "servisimi dışarı itiyorum" diyorsanız -R doğru seçimdir.
SOCKS proxy kullanırken DNS sızıntısı nasıl önlenir?#
DNS sızıntısını önlemek için alan adı çözümlemesinin de proxy üzerinden yapılmasını sağlamanız gerekir. Komut satırında bunu socks5h:// şeması ya da curl --socks5-hostname seçeneğiyle sağlarsınız; buradaki h harfi çözümlemenin sunucu tarafında yapılacağı anlamına gelir. Tarayıcıda ise Firefox'taki "Proxy DNS when using SOCKS v5" gibi bir seçeneği etkinleştirmelisiniz. Bu ayar atlanırsa trafiğiniz şifreli aksa bile hangi siteleri ziyaret ettiğiniz yerel ağdaki bir izleyiciye DNS sorguları üzerinden sızabilir.
SSH tüneli bağlantısı sürekli kopuyor, ne yapmalıyım?#
Kopmaların en yaygın nedeni atıl bağlantıların ağ ekipmanları ya da sunucu tarafından zaman aşımına uğratılmasıdır. Bunu önlemek için ~/.ssh/config dosyanıza ServerAliveInterval 30 ve ServerAliveCountMax 3 satırlarını ekleyin; böylece SSH düzenli canlılık paketleri gönderir ve bağlantı gereksiz yere kapanmaz. Kesintiye rağmen tünelin kendini otomatik toparlamasını istiyorsanız autossh aracını kullanın ya da tüneli bir systemd servisine dönüştürerek Restart=always ile her kopuşta yeniden başlamasını sağlayın.
SSH tüneli üzerinden veri aktarmak güvenli midir?#
Evet, SSH tünelinden geçen trafiğin tamamı SSH oturumunun kriptografisiyle şifrelenir ve aradaki ağda okunamaz. Hatta hedef servisin kendisi şifresiz bir protokol kullansa bile, tünel içinde kaldığı sürece trafik korunur. Ancak güvenliğin gerçek dayanağı SSH erişiminizin ne kadar sağlam olduğudur; zayıf bir parola ya da korumasız bir özel anahtar, en iyi şifrelemeyi bile anlamsız kılar. Bu yüzden tünelleri kullanmadan önce anahtar tabanlı kimlik doğrulama ve iki faktörlü koruma gibi temel önlemleri almanız şarttır.
Uzak yönlendirmede sunucuda açtığım port neden dışarıdan erişilemiyor?#
Bu, SSH'ın varsayılan güvenli davranışından kaynaklanır. Uzak yönlendirmeyle açılan port, sunucuda öntanımlı olarak yalnızca 127.0.0.1 arayüzünde dinler, dolayısıyla dış dünyadan erişilemez. Portu sunucunun genel arayüzünde de dinletmek istiyorsanız sshd_config dosyasında GatewayPorts clientspecified ayarını etkinleştirip SSH servisini yeniden başlatmanız gerekir. Bunu yaparken servisi internete açtığınızı ve önüne bir güvenlik katmanı koymanız gerektiğini unutmayın.
Kapanış#
SSH tüneli ve port yönlendirme, doğru kavrandığında sunucu yönetiminde işinizi kökten kolaylaştıran bir yetenektir. Yerel yönlendirmeyle kapalı servislere güvenle ulaşır, uzak yönlendirmeyle yereldeki bir uygulamayı dışarı açar, dinamik yönlendirmeyle de tüm tarama trafiğinizi güvenilir bir çıkış noktasından geçirirsiniz. Üstelik bunların hiçbiri için ek bir yazılıma ya da karmaşık bir altyapıya ihtiyacınız yoktur; ihtiyacınız olan tek şey sağlam yapılandırılmış bir SSH erişimidir. Bu teknikleri veritabanı erişimi ve güvenli tarama gibi gerçek senaryolarda birkaç kez uyguladığınızda, tünelleme günlük araç kutunuzun vazgeçilmez bir parçası haline gelecektir.
Bu tünelleri üzerinde çalıştıracağınız, kök erişimine sahip güvenilir bir sunucuya ihtiyacınız varsa, yüksek performanslı VDS ve sanal sunucu paketlerimize göz atabilir, kurulum ve güvenlik ayarlarını bize bırakmak isterseniz sunucu yönetimi hizmetimizden yararlanabilirsiniz. Web tarafındaki projeleriniz için ise hosting çözümlerimiz, tüm altyapınızı tek çatı altında toplamanıza yardımcı olur. Güvenli bir dijital altyapı kurmanın ilk adımını Clou.TR ile atın.