Tera TermでNASのSSHサーバーへアクセスし、SSHポート転送してみようと思いましたが、「administratively prohibited(1) : open failed」のエラーで上手くいきませんでした。
原因は、sshd_configの設定で、AllowTcpForwardingがrootとadmin以外許可されてなかったので、Synology NASのSSHサービスを有効にし、ポートフォワーディング出来る様に設定します。
DSMでSSHを有効にする
DSMにログインし、コントロールパネルを開きます。
コントロールパネル内の下部、アプリケーショングループの「端末とSNMP」アイコンをクリックします。
SSHサービスを有効化する
ターミナルタブで、「SSHサービスを有効化する。」にチェックを入れます。
ポートは、初期で22番となっており、外部からSSHでアクセスする場合、22番のポートへアクセスできるよう、ポートの開放が必要です。
ですが、外部からSSHでアクセスをする場合は、セキュリティー的にポート番号を22番以外に変更した方が良いようです。
もしくは、設定が出来るルーターであれば、ここではポート変更せず、22番へポート転送されるようにしても良いと思います。
SSHサービスの設定を変更する
SSHクライアントでNASにアクセスする
SSHクライアント、Windowsであれば「Tera Team」、MacOSXではターミナルなどから、NASのadministrator権限を持ったユーザー名とパスワードで接続します。
vimでsshd_configを編集
SSHクライアントからNASへアクセスし、sshd_configを編集します。
下記コマンドを入力するとパスワードを要求されるので、ログイン時に使用したパスワードを入力します。
sudo vim /etc/ssh/sshd_config
問題が無ければ、vim(ヴィム)と言うテキストエディタが起動し、sshd_configが表示され編集できる状態になります。下記は一部抜粋ですが、何も表示されずvimが起動した場合は、ファイル名が間違っている可能性があります。
その時は、焦らず:xと入力しEnterキーを入力することでvimが終了できます。
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options override the # default value.
カーソルキーで最下部までスクロールすると、下記内容が記載されている部分があると思います。
Match User root AllowTcpForwarding yes Match User admin AllowTcpForwarding yes Match User anonymous AllowTcpForwarding no GatewayPorts no
ここで、ユーザー別の設定が出来るようなので、既存の設定は弄らず使用しているユーザーの記述を追加します。
iキーを押してインサートモードに切り替えると、編集できるようになるので、下記内容を書き足します。
Match User ユーザー名 AllowTcpForwarding yes
ユーザー名は、SSHクライアントで使用したユーザー名にして下さい。
書き足したら、ESCキーを押しインサートモードを終了します。
:wと入力しEnterキーを押すと上書き保存されます。
:xと入力しEnterキーでvimが終了します。
vim(ヴィム)はGUIのテキストエディタに慣れていると使いずらいですが、少しは使い方を覚えておくと良いですね。
DSMでSSHサービスを再起動
SSHクライアントからsshdの再起動をしたかったのですが、なぜか上手くいかず・・・
なので、DSMにログインし、SSHサービスを有効化のチェックを外し一度適用を押してから、再度SSHサービスを有効化してsshd_configの編集内容を反映させてください。
これで、Synology NASのSSHを利用した、ポートフォワーディングが使用できます。
応用・まとめ
なぜ、Synology NASのSSHを利用してポートフォワーディングをしてみたかったのかと言うと、外部からNASへSSH接続し、踏み台にしてLAN内のNVR510の設定を開けたら便利で楽しいだろうなと・・・
実は、sshd_configを編集しなくても、SSHクライアントからNVR510へSSHで接続することは可能ですし、きっと、セキュリティー的には、もっと安全にアクセスする方法あると思います。
でも、SSH接続からポート転送とかって、ロマン感じませんか!?
コメント
SSHアクセスの件、大変役立ちました。
また遊びに来ます。
コメントありがとうございます!
お役に立てて良かったです。
素人なので難しい事は書けませんが、また見に来てください!