ライン

ポイント:SSHだけで、会社側のLANにあるESXiを操作

ライン

 はじめに

 VPNがあるので、そんなに必要性はなかったのですが、別途環境のために確認する必要が出てきました。
今回は、port fowardingの設定を久々に確認するメモとしました。

 FreeBSDのSSHDを利用

設定

 あるものは使おう、ということで、FreeBSDのDMZ側のサーバを使って社内のLANに入ることにします。
/etc/ssh/sshd_config の設定に以下を加え、サービスをリスタートします。
(/etc/rc.d/sshd restart するだけですけど)

GatewayPorts yes

…として保存して、サービスを再起動。FreeBSD 8.2のデフォルトから変更したのはこれだけ。

次に、ローカルPCのTeraterm側の設定を変更していきます。
vSphere Clientから、ESXiサーバにアクセスするポートは、443(TCP-HTTPS)、902(UDP-xinetd/vmware-authd ESX/ESXi ステータスの更新)、903(TCP-xinetd/vmware-authd-mks)とのこと。{ESXi 構成ガイドを参照}
ちなみに、ずっとMKSが何の略だろうと考えていましたが、Mouce Keyboard、Screenだったんですね。
とりあえず、443と902の2つと通信できれば使えるということみたいです。(外からは、この2つは守る必要があるということにもつながるでしょう)

相手側のLANに接続されているゲートウェイとなるサーバに接続。
その後、上記のように、設定→SSH転送をクリックする。
上記のような画面が来る。追加を押す
ESXi に接続するのに必要な 902(TCP)と443(TCP)の設定を追加することにする。
ここで書いている、リモート側ホストとは、対向側のESXiサーバのローカルIPアドレスのこと。
同様に 443も追加記述する。
上記のように2行の記述ができあがった。

hosts (c:\windows\system32\drivers\etc/hosts) に何でもいいので、名前を決める。
今、付いている物があれば追加の必要はない。

この名前は、vSphere Clientの接続先に、 127.0.0.1 や localhost と書けないためにつける任意の
ホスト名になるみたいなので、適当でいい。

この状態で、設定→設定の保存 で内容を保存する。teraterm.ini の追加記述部分を確認してみよう。

; default login username (setup to authentication dialog)
DefaultUserName=fkimura
DefaultForwarding=L902:192.168.nnn.mmm:902;L443:192.168.nnn.mmm443

のようになっていたはずです。

動作確認テスト

 まずはウェブで、443が通っているかは、ウェブ画面で確認できます。
https://127.0.0.1/ で確認してみましょう。

見えてきました。
このマシンには、IISなどのウェブサーバは動作していないので、向こう側のESXiが見てて来ていることになります。
今度は、クライアントソフトから接続してみましょう。
サービスコンソールなスクリーンも見えてきました。

ちなみに、別のサーバ(同じLAN)に入って、GatewayPortsな設定がNOのままと思われるサーバで接続してもいけるなぁ。
ssh1だし。ああ、なるほど。FreeBSD 7.4のデフォルトは、GatewayPortsは yesがデフォルトなんだ。

さて、ゲストOSとリモートコンソールの間は、コピーペーストができないのがデフォルト。
/etc/vmware/config に修正をいれればいいみたいだ。

ここに、

isolation.tools.copy.disable="FALSE" 
isolation.tools.paste.disable="FALSE" 

を加えることで良いということのようだ。

ちゃんと、使えることを確認できたので、よりセキュアに接続できる方法を考えようと思います。

【改訂履歴】作成:2011/07/08
修正加筆 2011/07/09

【参考リンク】


Copyright © 1996,1997-2006,2007- by F.Kimura,