Découvrez la position dans le moteur de recherche par mots-clés. Bonus - un système de vérification des positions dans Torvisor. Services professionnels payants
Il y en a trois différents types tunneling, et tous sont utilisés pour résoudre différentes tâches. Chaque tâche implique l'utilisation d'un serveur SSH pour rediriger le trafic d'un port réseauà un autre. Le trafic est envoyé via une connexion SSH cryptée, il ne peut donc pas être surveillé ou modifié pendant la transmission :
Le tunneling peut être implémenté à l'aide de la commande ssh sous Linux, Mac OS et systèmes d'exploitation Famille UNIX. Pour Utilisateurs Windows là où il n'y a pas de commande ssh intégrée, nous suggérons outil gratuit Mastic. Il peut se connecter aux serveurs SSH. Il prend également en charge Tunnelisation SSH.
Redirection de port local : nous accédons aux ressources distantes sur le système local
« Redirection de port local» vous permet d'accéder aux ressources situées à l'intérieur réseau local. Supposons que vous deviez accéder à un serveur de base de données de bureau lorsque vous êtes assis à la maison. Pour des raisons de sécurité, ce serveur est configuré pour accepter uniquement les connexions provenant de PC situés sur le réseau local du bureau. Mais si vous avez accès à un serveur SSH situé au bureau et que ce serveur SSH autorise les connexions depuis l'extérieur réseau de bureau, vous pourrez alors vous y connecter depuis chez vous. Accédez ensuite à la base de données. Il est plus facile de protéger un serveur SSH contre les attaques que de protéger chaque ressource du réseau local séparément.
Pour ce faire, vous établissez une connexion SSH au serveur SSH et demandez au client de transférer le trafic depuis un port spécifié sur le PC local. Par exemple, du port 1234 à l'adresse du serveur de base de données et à son port au sein du réseau du bureau. Lorsque vous essayez d'accéder à la base de données via le port 1234 sur votre PC (" hôte local") le trafic est automatiquement « canalisé » via une connexion SSH et envoyé au serveur de base de données.
Le serveur SSH agit comme intermédiaire, transmettant le trafic dans les deux sens. Vous pouvez utiliser n'importe quelle ligne de commande ou outil graphique pour accéder à la base de données comme vous le feriez normalement sur votre PC local.
Pour utiliser la redirection locale, connectez-vous au serveur SSH à l'aide de l'argument auxiliaire -L. La syntaxe du tunneling du trafic sera la suivante :
ssh -L port_local:adresse_distante:port_distant [email protégé]
Supposons que le serveur de bureau se trouve à l'adresse 192.168.1.111. Vous avez accès au serveur SSH via ssh.youroffice.com et le nom de votre compte sur le serveur SSH est bob. Dans ce cas, la commande requise ressemblera à ceci :
ssh-L 8888:192.168.1.111:1234 [email protégé]
L'exécution de cette commande vous amènera au serveur de base de données Office sur le port 8888 sur localhost. Si le SGBD dispose d'une interface web, vous pouvez saisir barre d'adresse navigateur http://localhost:8888. Si vous avez un instrument ligne de commande qui a besoin adresse réseau base de données, puis pointez-la vers localhost:8888 . Tout le trafic envoyé au port 8888 sur le PC sera transféré vers 192.168.1.111:1234 au sein du réseau du bureau :
Cela devient un peu déroutant si vous devez vous connecter à une application serveur exécutée sur le même système que le serveur SSH lui-même. Par exemple, un serveur SSH s'exécute sur le port 22 d'un ordinateur de bureau. Mais vous disposez également d’un serveur de base de données fonctionnant sur le port 1234 sur le même système à la même adresse. Vous devez vous connecter à la base de données depuis chez vous, mais le système n'accepte qu'une connexion SSH via le port 22, et le pare-feu n'autorise aucune connexion. connexions externes. Dans ce cas, vous pouvez exécuter la commande suivante :
ssh -L 8888:hôte local:1234 [email protégé]
Lorsque vous essayez de vous connecter à la base de données via le port 8888 sur votre PC, le trafic sera transmis via une connexion SSH. Lorsqu'il atteint le système exécutant SSH, le serveur SSH l'enverra au port 1234 sur " hôte local", appartenant au même PC sur lequel le serveur SSH est exécuté. C'est, " hôte local" dans la commande ci-dessus signifie " hôte local» du point de vue d'un serveur distant :
Pour ce faire dans PuTTY sous Windows, sélectionnez l'option Connexion > SSH > Tunnels. Option suivante " Locale" Dans le domaine " Port source» veuillez préciser port local. Dans le domaine " Destination adresse_distante : port_distant.
Par exemple, si vous devez configurer un tunnel SSH comme ci-dessus, entrez 8888 comme port source et localhost:1234 comme adresse de destination. Après cela, cliquez sur " Ajouter" et puis " Ouvrir" pour ouvrir une connexion SSH. À Connexions SSH tunneling, vous devez saisir l'adresse et le port du serveur SSH lui-même dans le champ " Session»:
Redirection de port distant : fournir un accès aux ressources locales sur un système distant
« Redirection de port distant" est à l'opposé de la redirection locale et n'est pas utilisé aussi souvent. Il vous permet d'ouvrir l'accès aux ressources sur votre PC local via un serveur SSH. Supposons que vous disposez d'un serveur Web configuré sur votre PC local. Mais votre PC est protégé pare-feu, ce qui ne manque pas trafic entrant au serveur.
Si vous avez accès à un serveur SSH distant, vous pouvez vous connecter à ce serveur SSH et utiliser la redirection de port distant. Votre client SSH demandera au serveur de transférer le trafic d'un port spécifique - par exemple 1234 - sur le serveur SSH vers adresse spécifiée et un port sur votre PC ou au sein d'un réseau local. Lorsqu'une personne se connecte au port 1234 sur un serveur SSH, ce trafic est automatiquement « canalisé » via la connexion SSH. Toute personne qui se connecte au serveur SSH pourra accéder au serveur exécuté sur votre PC. C'est assez moyen efficace contourner les pare-feu.
Pour profiter du tunneling IP distant, utilisez la commande ssh avec l'argument -R. La syntaxe ici sera quasiment la même que dans le cas d'une redirection locale :
ssh -R port_distant : adresse_locale : port_local [email protégé]
Supposons que nous devions créer application serveur, en écoute sur le port 1234 de votre PC. Il est accessible via le port 8888 sur le serveur SSH distant. Adresse Serveurs SSH ssh.youroffice.com, et votre nom d'utilisateur sur le serveur SSH est bob . La commande sera donc la suivante :
ssh -R 8888:hôte local:1234 [email protégé]
Quelqu'un peut alors se connecter au serveur SSH sur le port 8888, et cette connexion sera tunnelisée vers l'application serveur exécutée sur le port 1234 du PC à partir duquel vous vous êtes connecté :
Pour ce faire dans PuTTY pour Windows, sélectionnez l'option Connexion > SSH > Tunnels. Ensuite – l'option " Télécommande" Dans le domaine " Port source» veuillez préciser port distant. Dans le domaine " Destination» entrez l'adresse cible et le port au format adresse_locale : port_local.
Par exemple, si vous devez configurer un tunnel SSH, comme indiqué ci-dessus, spécifiez 8888 comme port source et localhost:1234 comme adresse de destination. Après cela, cliquez sur " Ajouter" et puis " Ouvrir" pour ouvrir une connexion SSH. Avant de vous connecter, vous devrez saisir l'adresse et le port du serveur SSH lui-même dans le champ « Session».
Les utilisateurs pourront alors se connecter au port 8888 sur le serveur SSH et leur trafic sera redirigé vers le port 1234 sur votre système local :
Par défaut, le serveur SSH distant n'écoutera que les connexions du même hôte. En d’autres termes, seules les personnes sur le même système exécutant le serveur SSH y auront accès. Lors du tunneling du trafic, cela est effectué à des fins de sécurité.
Vous devez activer l'option " Ports de passerelle" dans sshd_config sur le serveur SSH distant si vous souhaitez modifier ces paramètres.
Redirection de port dynamique : utiliser un serveur SSH comme proxy
Il y a aussi " redirection de port dynamique", qui fonctionne sur le même principe qu'un serveur proxy ou VPN. Le client SSH crée un proxy SOCKS, qui peut être configuré pour applications natives. Tout le trafic envoyé via le proxy sera envoyé via le serveur SSH. Le principe ici est similaire à la redirection locale : il faut trafic local, envoyé vers un port spécifique de votre PC et transféré via une connexion SSH vers une adresse distante.
Supposons que vous utilisiez Wi-Fi public filet. Mais je veux le faire en toute sécurité. Si vous avez accès à un serveur SSH depuis chez vous, vous pouvez vous y connecter et utiliser la redirection dynamique. Le client SSH créera un proxy SOCKS sur votre PC. Tout le trafic envoyé à ce proxy sera envoyé via une connexion au serveur SSH. Aucune personne utilisant un réseau Wi-Fi public ne pourra suivre vos mouvements sur le réseau ou bloquer l'accès aux sites. Du point de vue des sites que vous visitez, il semblera que vous y accédez depuis votre ordinateur personnel.
Ou vous devrez peut-être vous connecter à un serveur multimédia situé dans votre réseau domestique. Pour des raisons de sécurité, seul votre serveur SSH est connecté à Internet. Dans ce cas, vous n'autorisez pas la connexion au serveur multimédia via Internet. Dans ce cas, vous pouvez activer la redirection de port dynamique, configurer un proxy SOCKS dans votre navigateur, puis vous connecter aux serveurs exécutés sur votre réseau domestique via le navigateur comme si vous étiez chez vous.
Par exemple, si le serveur multimédia est situé à l'adresse 192.168.1.123 sur votre réseau domestique, vous pouvez ajouter l'adresse 192.168.1.123 à n'importe quelle application utilisant un proxy SOCKS et accéder au serveur multimédia comme si vous étiez à l'intérieur de votre réseau domestique.
Pour utiliser la redirection dynamique, exécutez la commande ssh avec l'argument -D :
ssh -D port_local [email protégé]
Supposons que vous ayez accès au serveur SSH sur ssh.yourhome.com et que votre connexion sur le serveur SSH soit bob. Vous devez utiliser la redirection dynamique afin d'ouvrir un proxy SOCKS sur le port 8888 du PC actuel. Ensuite, la commande pour le tunneling SSH ressemblera à ceci :
ssh-D 8888 [email protégé]
Après cela, vous pouvez configurer votre navigateur ou une autre application pour utiliser adresse IP locale(127.0.0.1) et port 8888. Tout le trafic de cette application sera redirigé via le tunnel :
Pour ce faire dans PuTTY pour Windows, sélectionnez l'option Connexion > SSH > Tunnels. Ensuite – l'option " Dynamique" Dans le domaine " Port source» précisez le port local.
Par exemple, si vous devez configurer un proxy SOCKS sur le port 8888, entrez 8888 comme port source. Après cela, cliquez sur " Ajouter" et puis " Ouvrir" pour ouvrir une connexion SSH.
N'importe qui administrateur du système vous devez constamment travailler à distance, mais il existe des situations où vous avez un besoin urgent de vous connecter aux nœuds réseau interne, dont l'accès est fermé de l'extérieur. C'est bien s'il y a accès à d'autres nœuds d'un réseau donné, mais il arrive que l'accès depuis réseau mondial non du tout, dans ces cas, ils utilisent généralement TeamViewer ou un logiciel similaire, mais s'il est possible de se connecter à un tel réseau via SSH ou d'établir une connexion avec un serveur SSH intermédiaire, vous pouvez alors organiser l'accès rapidement et facilement sans impliquer des tiers. logiciel de fête.
Très souvent, lorsqu'il s'agit d'accéder à distance à des réseaux avec niveau bas sécurité, la première chose qui vient à l'esprit est un VPN, cependant, pour des raisons de connexions administratives, il n'est pas toujours conseillé d'installer un VPN, surtout si nous parlons deà propos de l’externalisation ou de « l’administrateur entrant ». De plus, les conditions de communication ne permettent pas toujours une connexion VPN stable, surtout si vous devez utiliser les réseaux mobiles.
De plus, dans presque tous les réseaux, vous pouvez trouver un appareil ou un serveur accessible via SSH, ou il existe un tel serveur intermédiaire, par exemple un VPS sur le réseau mondial. Dans ce cas excellente solution Il y aura des tunnels SSH qui faciliteront l'organisation de canaux de communication sécurisés, y compris via des nœuds intermédiaires, ce qui éliminera le problème de disposer d'une adresse IP dédiée.
À proprement parler, les tunnels SSH ne sont pas des tunnels à part entière et ce nom doit être considéré comme un nom stable qui s'est développé dans le milieu professionnel. Le nom officiel de la technologie est Redirection de port SSH- c'est une fonctionnalité facultative Protocole SSH, qui permet de transmettre un paquet TCP d'un côté d'une connexion SSH à l'autre et pendant le processus de transmission, de diffuser l'en-tête IP selon une règle prédéterminée.
De plus, contrairement aux tunnels VPN, qui permettent de transmettre n'importe quel trafic dans n'importe quelle direction, le tunnel SSH possède un point d'entrée et ne peut fonctionner qu'avec des paquets TCP. En fait, cela ressemble beaucoup à la redirection de port (comme son nom officiel l’indique), uniquement via le protocole SSH.
Regardons plus en détail le fonctionnement du tunnel SSH. Comme prenons un exemple un cas classique de fourniture d'accès à un serveur distant via le protocole RDP.
Disons qu'il existe un serveur cible avec l'adresse 192.168.0.105 sur le réseau distant, mais qu'il n'y a pas d'accès depuis le réseau externe, le seul appareil auquel nous pouvons nous connecter est un routeur avec l'adresse 192.168.0.1 avec lequel nous pouvons établir une connexion SSH.
Attardons-nous sur très point important: définit tous les paramètres du tunnel SSH initiateur connexions, alias Client SSH, la deuxième extrémité du tunnel est toujours le serveur auquel on se connecte, alias Serveur SSH. Dans ce contexte, le client et le serveur doivent être compris uniquement comme des côtés de la connexion. Par exemple, un serveur VPS peut agir en tant que client SSH et l'ordinateur portable d'un administrateur peut agir en tant que serveur SSH.
Le point d'entrée peut être localisé à partir de n'importe quel côté connexion, un socket TCP y est ouvert avec paramètres spécifiés, qui acceptera les connexions entrantes. Le point de sortie ne peut pas accepter de connexions, mais achemine uniquement les paquets conformément aux règles de traduction.
Regardons le schéma ci-dessus. Nous avons établi un tunnel SSH depuis la machine locale vers au routeur distant, en spécifiant local point d'entrée 127.0.0.1:3389 Et règle de traduction 192.168.0.105:3389. Encore une fois, nous attirons votre attention sur le fait que la règle de traduction n'indique pas le point de sortie, mais détermine le nœud vers lequel les paquets seront envoyés à la sortie du tunnel. Si vous spécifiez une adresse non valide ou si l'hôte n'accepte pas les connexions, le tunnel SSH sera établi, mais il n'y aura aucun accès à l'hôte cible.
Selon le point d'entrée spécifié, le service SSH créera un socket TCP local qui écoutera les connexions sur le port 3389. Par conséquent, dans la fenêtre de connexion RDP, nous spécifions comme destination hôte local ou 127.0.0.1 , Le client RDP ouvre un port dynamique et envoie un paquet avec l'adresse de destination 127.0.0.1:3389 et l'adresse source 127.0.0.1:61256 , il ne sait rien de la véritable destination du destinataire du paquet.
Depuis le point d'entrée ce paquet sera envoyé de l'autre côté du tunnel SSH, et l'adresse de destination selon les règles de traduction sera modifiée en 192.168.0.105:3389 , et le serveur SSH prendra une autre décision en fonction de sa propre table de routage, en remplaçant l'adresse source par la sienne, sinon le serveur cible tentera d'envoyer un paquet de réponse à l'adresse locale.
Ainsi, le client RDP fonctionne avec un socket local et les paquets RDP ne dépassent pas ce nœud, à l'intérieur du tunnel ils sont transmis via le protocole SSH sous forme cryptée, mais une connexion RDP régulière est établie entre le serveur SSH et le serveur RDP sur le réseau 192.168.0.0 , V formulaire ouvert. Ceci doit être pris en compte lors de l'utilisation de protocoles non sécurisés, en gardant à l'esprit que si la règle de traduction pointe au-delà du nœud avec le point de sortie, alors une telle connexion (entre le point de sortie et le nœud de destination) ne pas se défendre via SSH.
Ayant compris aperçu général comment fonctionnent les tunnels SSH, passons à options pratiques leur utilisation, nous considérerons les systèmes Linux de la famille Debian/Ubuntu comme une plate-forme, mais tout ce qui est indiqué ci-dessous, avec des modifications mineures, sera valable pour tout système de type UNIX.
Tunnel SSH avec point d'entrée local
Tunnels avec point local les logins sont utilisés pour accéder aux nœuds d'un réseau distant s'il est possible d'établir une connexion SSH avec l'un de ses nœuds, ce qui suppose que le réseau distant dispose d'une adresse IP dédiée.
Nous considérerons la même option, une connexion RDP à un serveur distant, la ligne pointillée orange dans le schéma indique une connexion SSH sécurisée et les flèches bleues indiquent une connexion TCP standard.
Dans le très version simplifiée on établit simplement une connexion du PC client au routeur sur le réseau distant, en précisant le nœud cible dans la règle de traduction :
Ssh-L 127.0.0.1:3389:192.168.0.105:3389 [email protégé]
Clé -L indique que le point d'entrée est localisé localement, puis un deux-points indique l'adresse et le port du point d'entrée et l'adresse, le port de la règle de traduction. Le point de sortie est le nœud auquel on se connecte, c'est-à-dire rt.exemple.com.
Si votre réseau dispose également d'un routeur (ou autre serveur Linux), alors vous pouvez en faire un point d'entrée, qui permettra à n'importe quel client RDP du réseau local de se connecter au serveur distant. En théorie, pour ce faire, il faudrait creuser un tunnel comme ceci :
Ssh-L 192.168.31.100:3389:192.168.0.105:3389 [email protégé]
Dans ce cas, le service SSH devrait ouvrir un socket TCP sur l'interface 192.168.31.100, mais en pratique cela n'arrivera pas. Cela est dû aux fonctionnalités d'implémentation d'OpenSSH, qui est le standard pour la grande majorité des systèmes de type UNIX.
Par défaut, OpenSSH ouvre un point d'entrée seulement sur interface locale . Il est facile de vérifier ceci :
Afin de donner accès à un socket TCP depuis des interfaces externes, vous devez utiliser la clé -g, ou ajouter à fichier de configuration /etc/ssh/sshd_config option:
Ports de passerelle oui
Cependant, après cela, le socket acceptera les connexions de n'importe lequel Interface réseau de l'initiateur :
Cela signifie que le port 3389 sera ouvert à tous interfaces réseau, donc si le point d'entrée est un périphérique Edge, vous devez alors restreindre l'accès au socket, par exemple en utilisant iptables. Par exemple, bloquons l’accès depuis le réseau externe (interface eth0) :
Iptables -A INPUT -i eth0 -p tcp --dport 3389 -j DROP
Ainsi, le tunnel de travail doit être surélevé avec la commande :
Ssh -L -g 3389:192.168.0.105:3389 [email protégé]
Veuillez noter encore une chose : si le point d'entrée correspond à l'interface locale, et pour OpenSSH c'est toujours le cas, alors il peut être omis en démarrant immédiatement la commande depuis le port du point d'entrée.
Nous vous recommandons également d'utiliser la clé si possible -g, plutôt que d'ajouter l'option au fichier de configuration, car dans ce dernier cas vous risquez, en oubliant ce paramètre, d'ouvrir l'accès aux services non protégés du réseau distant au monde extérieur.
Tunnel SSH avec point d'entrée distant
Un tunnel avec point d'entrée distant permet au contraire de publier n'importe quel service local sur un réseau distant ; une des utilisations les plus courantes est l'accès à un réseau sans adresse IP dédiée, mais cela nécessite une IP « blanche » de la part du réseau de l'administrateur.
Dans la première option, le serveur distant établit lui-même une connexion avec le routeur du réseau local. Cela peut être fait avec une simple commande :
Ssh-R 3389:127.0.0.1:3389 [email protégé]
La clé -R spécifie d'ouvrir le point d'accès depuis le côté distant du tunnel, puis nous spécifions le port pour le socket TCP et la traduction, puisque les paquets arrivant au point de sortie doivent être traités localement, nous spécifions également l'interface locale.
Le lecteur attentif remarquera que nous n'avons pas précisé la clé -g, oui, c'est vrai. Le fait est que pour les tunnels avec point d'entrée distant, cette clé n'est pas applicable et vous devez utiliser l'option
Ports de passerelle oui
du côté du serveur SSH.
Pour des raisons de sécurité, nous vous recommandons d'utiliser ce paramètre avec la politique par défaut DROP pour la chaîne INPUT, cela évitera une publication accidentelle sur interface externe services internes et des ressources. Dans une configuration minimale, vous devez ajouter quatre règles au tout début de la chaîne INPUT :
Iptables -P BAISSE D'ENTRÉE
iptables -A ENTRÉE -i eth0 -m état --étatÉTABLI, RELATIF -j ACCEPTER
iptables -A ENTRÉE -i eth1 -j ACCEPTER
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPTER
Le premier définit la politique de refus par défaut pour les paquets entrants, le second autorise les paquets entrants initiés par l'hôte lui-même (réponses aux paquets sortants) et le troisième autorise toutes les connexions du réseau local. Enfin, la quatrième règle ouvre le port 22 pour les connexions SSH entrantes ; de la même manière, vous pouvez ouvrir n'importe quel autre port pour les connexions externes ;
La deuxième option présentée dans le schéma prévoit que le tunnel SSH soit monté par les routeurs du réseau, dans ce cas la commande ressemblera à ceci :
Ssh-R 3389:192.168.0.105:3389 [email protégé]
Attirons encore une fois votre attention sur le fait que notre point d'entrée est situé de l'autre côté du tunnel, la diffusion est donc indiquée du côté de l'initiateur du tunnel, c'est-à-dire V dans ce cas Le client SSH établit deux connexions : une SSH avec rt.example.com et la seconde RDP avec 192.168.0.105, alors qu'avec un tunnel avec un point d'entrée local, l'initiateur établit une seule connexion avec le serveur SSH.
Double tunnel SSH
Très souvent, des situations surviennent lorsque vous devez connecter deux nœuds qui n'ont pas d'adresses IP dédiées. Dans ce cas, TeamViewer ou un logiciel tiers similaire est généralement utilisé, mais si vous avez serveur disponible avec une adresse IP dédiée, vous pourrez alors le faire plus facilement.
Faisons attention au schéma ci-dessus. SSH permet de construire des chaînes entières de tunnels, reliant le point d'entrée du suivant au point de sortie du précédent. Ainsi, afin d'obtenir un tunnel du PC administrateur vers le serveur RDP, avec les deux nœuds ayant des adresses IP grises, nous devons créer deux tunnels avec un nœud intermédiaire.
Tunnel avec un point d'entrée local sur le PC admin :
Ssh-L 3389:127.0.0.1:3390 [email protégé]
Et un tunnel avec un point d'entrée distant sur le serveur RDP :
Ssh-R 3390:127.0.0.1:3389 [email protégé]
Nous avons spécifiquement souligné serveur distant port non standard Pour plus de clarté, voyons maintenant comment tout cela fonctionne. Commençons par le serveur RDP ; il lève un tunnel avec un point d'entrée distant, ouvrant un socket TCP sur le serveur intermédiaire qui acceptera les connexions sur le port 3390 ; nous spécifierons le serveur RDP lui-même comme diffusion - 127.0.0.1:3389, c'est-à-dire tous les paquets arrivant à l'entrée de ce tunnel seront envoyés au port local 3389.
Un tunnel avec un point d'entrée local sur le PC de l'administrateur ouvre un socket local sur le port 3389, où le client RDP se connectera en diffusion, nous précisons le point d'entrée du deuxième tunnel - 127.0.0.1:3390.
Comme nous l'avons déjà dit, il n'y a aucune restriction sur le nombre de tunnels dans la chaîne, mais dans la pratique, le besoin de tunnels avec plus d'un nœud intermédiaire se pose assez rarement. Il ne faut pas oublier qu'à chaque nouveau nœud intermédiaire, la fiabilité de l'ensemble du circuit diminuera et la vitesse finale sera limitée à la vitesse de la section la plus lente du chemin.
Tunnel SSH dynamique
Contrairement à ceux évoqués ci-dessus, un tunnel dynamique fonctionne différemment : il ouvre un socket TCP local sur l'hôte, qui peut être utilisé comme proxy SOCKS4/SOCKS5 pour accéder à Internet via serveur SSH distant. Cela peut être utile pour contourner certaines restrictions, lorsqu'il n'est pas nécessaire d'installer un VPN à part entière dans une autre juridiction et que vous ne pouvez pas utiliser de proxys publics ou de VPN pour des raisons de sécurité.
Ce type de tunnel est particulièrement pratique si vous avez besoin d'un accès unique à Internet depuis un autre nœud. Un exemple simple : un bon ami à moi a apporté deux iPhones sous contrat avec un opérateur des États-Unis et a demandé à les déverrouiller. Problèmes cette opération Ce n'est pas un secret, si les termes du contrat n'ont pas été violés, il suffit de se rendre sur le site de l'opérateur et de remplir une demande de déverrouillage. Mais le problème s'est avéré être le suivant opérateur T-Mobile accès à cette rubrique Le site n’était accessible qu’aux résidents américains et les connexions provenant de proxys publics et de VPN ont été rejetées comme dangereuses.
Un tunnel SSH dynamique a permis de résoudre rapidement ce problème grâce aux VPS aux States. Pour créer un tel tunnel, entrez la commande :
Ssh-D1080 [email protégé]
Où 1080 est le port sur lequel notre proxy SOCKS sera disponible. Il ne reste plus qu'à configurer le navigateur pour utiliser un serveur proxy local.
Un autre avantage de cette méthode est que le serveur proxy n'existe que localement sur votre hôte, pas de ports supplémentaires dans réseau externe il n'est pas nécessaire de l'ouvrir et il n'y a qu'une connexion SSH entre le client et le serveur.
Cela vous permet de cacher la nature de votre activité Internet à un observateur extérieur, ce qui peut être utile dans réseaux publics, lorsqu'il existe des motifs raisonnables de croire que le trafic peut être intercepté et analysé par des tiers. Dans ce cas, le tunnel SSH fournit cryptage fort données transmises sur un réseau non sécurisé, mais cela nécessite confiance totale au serveur par lequel vous accédez à Internet.
Quelques mots sur la sécurité
Bien que cela dépasse le cadre de l'article, nous ne pouvons pas mentionner une seule fonctionnalité qui puisse apporter beaucoup mauvaises surprises. En augmentant le tunnel SSH à l'aide d'une des commandes ci-dessus, vous obtiendrez également, en plus du tunnel, console ouverte sur le serveur auquel vous vous connectez. Examinez attentivement la ligne d'invitation dans la capture d'écran ci-dessous.
En haut, nous voyons l'invitation de l'hôte local, et en bas, après avoir monté le tunnel, nous voyons l'invitation du serveur distant. Ceci est pratique si vous devez vérifier le canal de communication ou effectuer certains paramètres du côté distant, mais dans la vie normale, cela peut entraîner de graves problèmes si vous oubliez ou ne faites pas attention au serveur auquel la console est connectée et exécutez des commandes sur le serveur distant prévu. nœud local, surtout si vous vous connectez avec les droits de superutilisateur.
Par conséquent, après avoir vérifié la fonctionnalité du tunnel, vous devez le démarrer avec le commutateur -N, qui interdit l'exécution de commandes sur le serveur distant, par exemple :
Ssh -N -L -g 3389:192.168.0.105:3389 [email protégé]
Et, bien sûr, vous ne devez pas utiliser un compte superutilisateur pour vous connecter au serveur ; il est préférable de créer un compte régulier à ces fins.
Tunnels SSH sous Windows
Tout au long de cet article, nous avons examiné les tunnels SSH en utilisant les systèmes Linux comme exemple, et les utilisateurs Windows ont peut-être eu l'impression que ces fonctionnalités ne leur étaient pas disponibles. Mais ce n'est pas vrai ; il existe de nombreux clients SSH pour Windows qui prennent en charge la création de tunnels. Nous considérerons le plus populaire d'entre eux - PuTTY. Vous pouvez également exécuter un serveur SSH sous Windows, mais cela nécessite certaines qualifications et n'est pas toujours possible à réaliser. fonctionnement stable, nous n’envisagerons donc pas cette option.
Ouvrons PuTTY et sur le côté gauche de l'arborescence, allez à Connexion - SSH - Tunnels:
La fenêtre suivante s'ouvrira devant nous, les principaux paramètres du tunnel sont concentrés en bas, et nous les avons mis en évidence avec un cadre rouge. Port source- est destiné à indiquer le port du point d'entrée, qui est toujours situé sur l'interface locale (127.0.0.1). Destination- diffusion, c'est-à-dire où les paquets seront envoyés depuis le point de sortie. Commutateurs radio Local - Distant - Dynamique définir le type de tunnel et sont similaires aux clés -L,-R Et -D.
Après avoir tout rempli champs obligatoires vous pouvez ajouter un tunnel en utilisant le bouton Ajouter. Pour autoriser les hôtes externes à accéder au socket du point d'entrée local, cochez la case Les ports locaux acceptent les connexions d'autres hôtes. Dans ce cas, vous devez également limiter l'accès à ports ouverts moyens Pare-feu Windows ou un parasurtenseur tiers.
Le serveur auquel nous nous connectons est spécifié dans une section différente - Session, familier à tous ceux qui ont déjà utilisé PuTTY, où vous pouvez enregistrer les paramètres de session pour une utilisation future.
Comme vous pouvez le constater, SSH offre à l'administrateur des fonctionnalités flexibles et outil puissant pour la sécurité accès à distance sans avoir besoin d'ouvrir des ports ou d'organiser des canaux VPN. Nous espérons que ce matériel vous sera utile et vous permettra de maîtriser de nouvelles capacités d'outils apparemment familiers.
Balises :
D'accord, aucun travail ne peut être effectué efficacement à l'aveugle, sans voir les résultats de vos actions et sans évaluer la dynamique du changement.
De même, lors d’une promotion, il est important de vérifier régulièrement la position du site en fonction mots-clés- cela permettra d'ajuster l'optimisation du texte sur les pages ou de contrôler si le processus d'optimisation va dans la bonne direction pendant la basse saison, lorsque le trafic diminue.
Vous pouvez suivre les positions de trois manières :
- services en ligne;
- en téléchargeant des applications de bureau et mobiles spéciales ;
- manuellement.
Ce qui est remarquable dans chacune des façons de vérifier la position d'un site par mots-clés - regardons plus loin avec des faits, des chiffres et des exemples.
Nous découvrirons également quels services permettent vérifier gratuitement les positions du site, et quelles restrictions ils ont.
Vérification manuelle
Mais d’abord, activez le mode navigation privée dans votre navigateur (puisque les moteurs de recherche personnalisent les résultats en fonction de votre historique de recherche, de votre emplacement et d’autres facteurs) :
- dans Firefox : Menu - Outils - Commencer navigation privée(ou simplement la combinaison Ctrl+Shift+P) ;
- V Google Chrome: Menu - Nouvelle fenêtre en mode navigation privée (Ctrl+Shift+N) ;
- dans Opera : Menu - Créer une fenêtre privée (Ctrl+Shift+N).
Répétons !
Cette méthode est la moins précise et ne doit être utilisée que lors de la revérification des résultats des méthodes automatisées de détermination des positions du site ou pour une analyse rapide de 3 à 5 requêtes de recherche.
Les professionnels n'utilisent jamais cette méthode comme le principal.
Pour vérifier dans Yandex
Dans Yandex, pour vérifier le classement (c'est-à-dire la répartition des pages par position dans moteur de recherche) dans une nouvelle fenêtre, ouvrez le moteur de recherche Yandex, entrez la clé et cliquez sur le bouton de recherche.
Si une plateforme en ligne est promue dans une certaine région (et que vous vous trouvez géographiquement dans une autre région), n'oubliez pas non plus de la configurer dans Yandex (bouton Paramètres - Changer de ville).
Pour vérifier sur Google
Chez Google, la procédure elle-même est similaire. Mais notez qu'il peut suivre l'emplacement et modifier les résultats de recherche même lorsque vous naviguez en mode navigation privée.
Vous pouvez le voir en bas de page Recherche Google, comme dans la capture d'écran ci-dessous. Pour exclure ce facteur, cliquez sur l'inscription « Prendre en compte ma localisation » - la fonction sera désactivée.
Appuyez ensuite sur Ctrl+F5 pour vider le cache, actualiser la page et obtenir des résultats fiables.
Pour déterminer manuellement une position dans Google US
Se connecter Navigateur Opéra et activez le VPN.
De cette façon, vous pouvez obtenir les résultats les plus fiables.
Services en ligne payants
Si vous devez suivre le résultat en un grand nombre clés (à partir de 15 ans), vérification manuelle le classement commence à prendre trop de temps et n'est pas précis.
C’est là que les services en ligne payants s’avèrent utiles. Certains d’entre eux ne peuvent vérifier que les postes, tandis que d’autres disposent de fonctionnalités avancées pour un audit et une promotion complets.
Les services multifonctionnels les plus populaires (comparaison)
| Service | Marché | Version payante | version d'essai | Version gratuite |
|---|---|---|---|---|
| CEI, États-Unis, UE | Paiement pour vérification - à partir de 0,001 $ pour 1 | Manger | Avec des fonctionnalités limitées | |
| CEI | À partir de 0,05 roubles pour 1 position | - | Avec des fonctionnalités limitées (jusqu'à 200 contrôles) | |
| CEI, États-Unis, UE | Tarif 19$/mois (avec fonctionnalités supplémentaires) | - | Avec des fonctionnalités limitées (jusqu'à 10 mots-clés) | |
| CEI, États-Unis, UE | Tarifs à partir de 999 roubles/mois | Manger | - | |
| CEI, États-Unis, UE | à partir de 0,03 roubles pour 1 position | Manger | Manger | |
| CEI, États-Unis, UE | À partir de 3,29 $/mois | - | - | |
| CEI, États-Unis, UE | À partir de 0,05 roubles pour 1 position | - | Avec des fonctionnalités limitées | |
| CEI | À partir de 0,025 roubles pour 1 position | - | Avec fonctionnalité limitée (100 positions) |
*tous les prix sont pour janvier 2018
Plus de détails sur chacun d’eux :
Services en ligne gratuits de Yandex et Google
Des services simples avec capacités de base Yandex et Google eux-mêmes disposent d'outils pour les webmasters. Ils sont totalement gratuits, ce qui est un plus, mais pas précis à 100 %, ce qui est un moins.
Les données peuvent y être « extraites » avec un certain retard, de sorte que la dynamique des changements ne sera pas entièrement fiable. Mais vous pouvez voir l'image globale, c'est donc une option tout à fait intéressante pour votre ressource. Mais pour les spécialistes ayant de nombreux projets, il vaut mieux prêter attention à l’un des services ci-dessus.
Après la publication de cet article, nous avons reçu un commentaire officiel des représentants de Yandex.
Mikhail Slivinsky Responsable des services aux webmasters chez Yandex Laissez-moi vous expliquer et clarifier Yandex.Webmaster :
- DANS " dernières demandes" - liste demandes récentes avec clics/impressions/ctr, mais sans dynamique quotidienne
- Dans «l'historique des requêtes», il y a une dynamique et 3000 requêtes populaires, et par groupes
- "Les données peuvent y être "extraites" avec un certain retard, de sorte que la dynamique des changements ne sera pas entièrement fiable." - c'est une conclusion incorrecte. Données des journaux de recherche, c'est-à-dire c'est exactement ainsi que les utilisateurs ont vu le site. Les positions sont souvent fractionnaires précisément parce que même au cours d'une même journée, les utilisateurs d'une même région peuvent voir le site dans des positions différentes. En effet, la collecte des données prend du temps, il y a donc un délai de plusieurs jours. Mais cela ne rend évidemment pas les données peu fiables. Et nous travaillons à réduire ce temps.
Examinons maintenant de plus près chacun des webmasters.
Suivi des positions dans Yandex Webmaster
Il est principalement destiné à collecter noyau sémantique, mais peut également être utilisé comme contrôle de classement.
Les positions sont collectées dans Yandex et Google. Les clés peuvent être ajoutées manuellement (Opérations du tableau de menu - Ajouter) ou copiées à partir d'autres onglets du programme.
Pour configurer la régionalité, utilisez les boutons de la barre d'état (en bas de la fenêtre). Pour commencer la collecte, sélectionnez Yandex ou Google dans le menu Pages pertinentes, positions et analyses.
En plus de KeyCollector, vous pouvez utiliser :
Les programmes de bureau sont pertinents s'il vous manque services réguliersénumérées ci-dessus. Cependant, ils nécessitent davantage haut niveau connaissance.
Services en ligne et sur ordinateur en anglais pour la surveillance des postes
Parmi les programmes gratuits en anglais, Rankware est considéré comme intéressant :
- Systèmes d'exploitation Windows et Macintosh pris en charge ;
- vous permet de suivre les positions du site sans restrictions sur le nombre de demandes ;
- fonctionne gratuitement pour une ressource Web vérifiée ;
- a la possibilité d'étendre les fonctionnalités en achetant une licence payante ;
Voici à quoi ressemble l'interface dernière version programmes :
Outils en anglais pour lire les positions sur les sites Web (comparaison)
| Service | Marché | Version payante | version d'essai | Version gratuite |
|---|---|---|---|---|
| NOUS | À partir de 16$/mois | Oui, 2 semaines | - | |
| NOUS | À partir de 49,95$/mois | Oui, 30 jours | - | |
| NOUS | À partir de 10$/mois | - | Avec fonctionnalité limitée (jusqu'à 10 positions) | |
| NOUS | 29 $/mois | Oui, 2 semaines | - | |
| NOUS | 124,75$ | - | - | |
| NOUS | 69,95 $/mois | - | Manger |
Plus de détails sur chacun d’eux :
1. SerpBook.com. Intégration API, travail avec des mots-clés, personnalisation disponible recherche locale, nous devons vérifier les endroits dans résultats de recherche. Collecte automatiquement des données et génère un rapport qui aidera à suivre la dynamique de classement. Le service est payant, à partir de 16$/mois, il existe un mode d'essai de deux semaines.
2. Lors de la vérification des classements, MicroSiteMasters.com affiche les positions actuelles dans Google, ainsi que les changements par rapport aux classements. période spécifiée(augmenter ou rétrograder une page dans les résultats de recherche). À partir de 49,95 $/mois, essai de 30 jours disponible.
3. SerpFox.com. Les développeurs affirment que leurs technologies de vérification sont parmi les plus avancées et les plus précises. Il existe des rapports personnalisables qui collectent des données au fil du temps (par exemple, vous pouvez consulter la dynamique des classements au cours de l'année écoulée et jusqu'à présent pour une analyse à plus grande échelle). À partir de 10 $/mois, chèques gratuits disponible pour 10 postes.
4. RankWatch.com. Il existe également une archive pour afficher les données historiques, des rapports avancés avec visualisation, des notifications par e-mail, la configuration d'une recherche locale et bien plus encore. À partir de 29 $/mois, il existe un mode essai de deux semaines.
5. Link-assistant, en plus de surveiller le classement, fonctionne pour les audits de sites Web, la vérification des paramètres de référencement et bien plus encore. Les positions sont tirées de Google, Yahoo, Bing. Vous permet de vérifier manuellement, chaque semaine ou trois fois par jour. Le nombre de mots-clés n'est pas limité. Le coût de la licence est de 124,75 $.
6. SeoProfiler est utilisé pour vérifier les classements (y compris l'analyse des concurrents), et il existe également des outils pour travailler avec des liens, auditer les ressources Web, SMM et plus encore. Les débutants peuvent tester le service gratuitement, les forfaits payants commencent à partir de 69,95 $/mois.
Applications mobiles pour iOS et Android pour le suivi des positions
Si vous travaillez depuis un smartphone ou une tablette, option pratique utilisera des applications Android ou iOS. Il existe des applications payantes et gratuites, mais les premières sont naturellement plus nombreuses et leurs fonctionnalités sont plus étendues et plus pratiques.
Exemples d'applications :
SEO Watcher (sur Android), qui, même dans la version de base gratuite, permet d'analyser la position du site dans Google et Yandex par 5 requêtes de recherche.
SEO Serp Mojo (sur Android) permet de vérifier un nombre illimité d'URL, de mots-clés, de consulter l'historique de classement de tous les mots-clés suivis, fonctionne avec Google et même Bing avec Yahoo, qui ne sont pas particulièrement pertinents sur le marché de la CEI.
SEO Tool est le frère « Apple » des applications ci-dessus. Il fonctionne avec deux de nos plus grands moteurs de recherche, ainsi que Mail et quelques autres systèmes moins populaires.
Les capacités des applications sont presque les mêmes : elles fonctionnent toutes sur le même principe. Pour vérifier, vous devez sélectionner le nombre de requêtes de recherche, les mots-clés, le moteur de recherche souhaité et l'URL de votre site.
De toutes les applications dans Apple Store et jouer Le marché est meilleur choisissez ceux qui sont dans le TOP - cela garantit bon fonctionnement et la sécurité des installations. Pour rechercher des programmes en anglais, utilisez les mots «rank tracker» ou «ranking tracker».
Résultats
Si vous commencez tout juste à vous plonger dans les subtilités de la promotion ou si vous possédez une petite ressource Internet, nous vous recommandons de commencer par services gratuits Yandex et Google ou modes de test sur des ressources en ligne payantes.
Alors tu comprendras fonctionnalités standards, outils et indicateurs sans frais financiers. Seulement plus tard, quand fonctionnalité de base s'épuisera et il n'y aura plus assez de données provenant des services gratuits, vous pourrez essayer progressivement versions payantes pour les utilisateurs avancés et les analyses à grande échelle.
Avez-vous surveillé la position de votre site en utilisant l’un des services ci-dessus ? Partagez votre expérience et écrivez vos commentaires dans les commentaires !
Chers amis, aujourd'hui, j'ai décidé de rassembler tous les programmes et services permettant de vérifier les positions des sites Web. Il m'a fallu 5 jours pour systématiser le matériel et rédiger ce post.
De temps en temps, des gens m'écrivent pour me poser des questions sur la façon de suivre les positions pour les requêtes de recherche promues et sur l'outil de surveillance que j'utilise. Afin de ne pas répondre à chaque fois et juste de donner un lien vers mon blog, j’ai décidé de faire la sélection du jour. La paresse est le moteur du progrès 😉 !
Il y en a deux grands groupes outils de suivi des postes - programmes et services. Il existe également des scripts et des applications pour Android et iOS. Et il existe également des instruments en anglais. Je vais vous en parler aussi.
Programmes de vérification des positions du site
C'est l'un des rares Programmes de référencement, qui fonctionne sous Windows, MacOS et Linux. Voici une capture d'écran de l'un des rapports Rank Tracker :
Veuillez noter qu'en plus du coût de base, vous devez payer un supplément chaque année pour les mises à jour du programme. D'un autre côté, cela garantit que le logiciel ne sera pas abandonné par les développeurs et continuera à se développer et à s'améliorer.
https://www.whitespark.ca/local-rank-tracker - ce service propose des graphiques intéressants avec la dynamique des positions, et permet également de suivre les positions par ville :
