Solaris のシステム管理 (セキュリティサービス)

ファイアウォール外部のホストにデフォルト接続を設定する方法

Solaris Secure Shell を使用して、ファイアウォール内部のホストからファイアウォール外部のホストに接続することができます。接続するには、構成ファイル内またはコマンド行オプションに ssh のプロキシコマンドを指定します。詳細は、例 — コマンド行からファイアウォール外部のホストに接続するを参照してください。

通常は、個人用構成ファイル $HOME/.ssh/config または管理構成ファイル/etc/ssh/ssh_config を使用して、ssh の対話操作をカスタマイズできます(ssh_config(4) のマニュアルページを参照)。プロキシコマンドには2 種類あり、 一方が HTTP 接続用、もう一方が SOCKS5 接続用です。

  1. 構成ファイルにプロキシコマンドとホストを指定します。

    次の構文を使用して、必要なプロキシコマンドとホストの数に応じて行を追加します。


    [Host outside_host]
    ProxyCommand proxy_command [-h proxy_server] \
    [-p proxy_port] outside_host|%h outside_port|%p

    次に、各引数について説明します。

    Host outside_host

    コマンド行でリモートホスト名を指定した場合、プロキシコマンド指定をインスタンスに限定する。outside_host でワイルドカードを使用した場合、一連のホストに対して指定が適用される

    proxy_command

    プロキシコマンドを指定する。次のいずれかを指定できる。

    • HTTP 接続の場合は、/usr/lib/ssh/ssh-http-proxy-connect

    • SOCKS5 接続の場合は、/usr/lib/ssh/ssh-socks5-proxy-connect

    -h proxy_server-p proxy_port

    これらのオプションは、プロキシサーバーとプロキシポートをそれぞれ指定する。これらのオプションは、HTTPPROXYHTTPPROXYPORTSOCKS5_PORTSOCKS5_SERVERhttp_proxy などの、プロキシサーバーとプロキシポートを指定するどのような環境変数よりも優先される。http_proxy 変数は URL を指定する。これらのオプションを指定しない場合、適切な環境変数を設定する必要がある。ssh-socks5-proxy-connect(1)ssh-http-proxy-connect(1) のマニュアルページを参照

    outside_host

    接続先のホストを指定する。%h を使うとコマンド行からホストを指定できる。

    outside_port

    接続先のポートを指定する。%p を使うとコマンド行からポートを指定できる。Host outside_host オプションを使わずに %h%p を指定した場合、ssh コマンドが呼び出されるたびに、引数に指定されたホストにプロキシコマンドが適用されます。

  2. 外部のホストを指定して、Solaris Secure Shell を実行します。

    たとえば、次のように入力します。


    myLocalHost% ssh myOutsideHost
    

    このコマンドは、個人用構成ファイル内で myOutsideHost のプロキシコマンド指定を検索します。指定が検出されない場合、このコマンドは、システム全体の構成ファイル ssh_config から検索します。プロキシコマンドが ssh に置き換わります。

例 — コマンド行からファイアウォール外部のホストに接続する

ssh コマンドの -o オプションには、ssh 構成ファイル内で使用できる任意の行を入力できます。ここでは、前述の例のプロキシコマンド指定を使用します。

  1. 構成ファイルにプロキシコマンドとホストを指定します。

  2. ssh コマンドを実行します。-o オプションにプロキシコマンドを指定してください。たとえば、次のように入力します。


    % ssh -o'Proxycommand=/usr/lib/ssh/ssh-http-proxy-connect \
    -h myProxyServer -p 8080 myOutsideHost 22' myOutsideHost
    

    このコマンドは、ssh を HTTP プロキシコマンドに置き換え、ポート 8080myProxyServer をプロキシサーバーとして使用し、 myOutsideHost のポート 22 に接続します。