SSH Tunnel as systemd service

README.md

${LOCAL_ADDR IP:PORT}

یعنی سرور ایرانتون و پورت داخلی که میخواهید روش ساکس داشته باشید و باید با این جایگزین بشود.

مثال:

10.10.10.10:9090

و قسمت پایین هم یوزر سرور خارجتون و آدرس IP سرور خارجیتونه که باید جایگزین کنید تو خط 7 فایل ssh-tunnel-as-systemd.sh

${REMOTE_USER}@${REMOTE_ADDRESS}

مثال:

[email protected]

مراحل کار:

اول

تو سرور ایرانتون یه SSH Key میسازید که دیگه هربار برای ارتباط با خارج دستی پسورد نخواد رد و بدل شه. ssh-keygen یک کلید میسازه بعد با دستور زیر کلید پابلیک سرور ایران رو میفرستید رو سرور خارجتون و بعد پسورد سرور خارج رو میزنید تا کلید سرور ایران بشینه روی سرور خارجی ssh-copy-id ${REMOTE_USER}@${REMOTE_ADDRESS}

بعدش هم فایل ssh-tunnel-as-systemd.sh line:7 که در بالا توضیحات جایگزین کردن مشخصات سرورهاتون رو توش نوشتم رو اجرا کنید داخل ترمینال که سرویس ssht ساخته بشه و به راحتی بتونید هر دفعه ریستارتش کنید.

اگر ورژن ssh ی که دارید از دستوری مثل -o ServerAliveInterval=60 پشتیبانی نمیکنه و خطا میده

از کجا بفهمیم پشتیبانی نمیکنه؟ همون خط 7 فایل ssh-tunnel-as-systemd.sh رو از بعد = یکبار دستی اجرا کنید ببینید به درستی کار میکنه یا نه چون اگر کار نکنه عملا کارهای شما بیفایده است برای ساخت یک سرویس.

اگر دیدید خطا داد و گیرداد به یه چیزی مثل ServerAliveInterval=60 اون قسمت -o ServerAliveInterval=60 رو پاک کنید. چون اینها برای استیبل کردن کانکشن استفاده شده و آپشنال هستند.

همچنین در ایران به خاطر اذیت کردن این پروتکلهای انکریپت شده نیاز هست هر چند دقیقه یکبار این سرویس ریستارت بشود که با زدن crontab -e و باز کردن فایل کرون‌جاب

یه خط به آخرش اضافه کنید */5 * * * * systemctl restart ssht

که این سرویس به طور خودکار هر ۵ دقیقه ریستارت شود.

برای اتصال به پروکسی ایجاد شده کافیه در برنامه هایی مثل تلگرام پروتکل Socks5 Proxy رو انتخاب کنید و IP:PORT سرور ایران رو وارد کنید.

run.sh

systemctl enable  ssht
systemctl start ssht

# Status
systemctl status ssht

ssh-tunnel-as-systemd.sh

cat <<'EOF' > /etc/systemd/system/ssht.service
[Unit]
Description=Setup a dynamic tunnel
After=network.target

[Service]
ExecStart=/usr/bin/ssh -o ServerAliveInterval=60 -o ExitOnForwardFailure=yes -nNT -D ${LOCAL_ADDR IP:PORT} ${REMOTE_USER}@${REMOTE_ADDRESS}
RestartSec=15
Restart=always
KillMode=mixed

[Install]
WantedBy=multi-user.target
EOF

Remember:
If you use "ssh -D 1080 -N caServer" on IR VPS, your connection from IR VPS to caServer would be encrypted, meaning no one can see what you are sending from IR server to caServer. However, if you connect to IR server from your home PC WITHOUT using ssh encryption, IR server can see what kind of website you are browsing from incoming connections (outgoing connections are encrypted). Follow the third option from https://superuser.com/questions/96489/an-ssh-tunnel-via-multiple-hops for more security; also use wireshark to see what kind of data you are sending to your servers.

Remember: If you use "ssh -D 1080 -N caServer" on IR VPS, your connection from IR VPS to caServer would be encrypted, meaning no one can see what you are sending from IR server to caServer. However, if you connect to IR server from your home PC WITHOUT using ssh encryption, IR server can see what kind of website you are browsing from incoming connections (outgoing connections are encrypted). Follow the third option from https://superuser.com/questions/96489/an-ssh-tunnel-via-multiple-hops for more security; also use wireshark to see what kind of data you are sending to your servers.

The link you sent is so useful. The best possible solution for those who have both servers and they want to be always secure.

2. Tunnel from localhost to host1 and from host1 to host2:

 ssh -L 9999:localhost:9999 host1 ssh -L 9999:localhost:1234 -N host2

This will open a tunnel from localhost to host1 and another tunnel from host1 to host2. However the port 9999 to host2:1234 can be used by anyone on host1. This may or may not be a problem.