Інструкції та туторіали по хостингу Практика

SSH-тунелі на хостингу: як пробити стіну між вашим ноутбуком і сервером без зайвих ризиків

15.04.2026

Додаток на екрані комп'ютера для налаштування ssh-тунелю на хостингу

Уявіть: ви сидите в кав'ярні, п'єте лате, підключились до безкоштовного Wi-Fi - і тут вам терміново треба залізти в базу даних на продакшн-сервері. Панель phpMyAdmin закрита ззовні. Прямий доступ до порту 3306 заблоковано файрволом. VPN не налаштовано. І що - здаватись? Ні. Бо існують SSH-тунелі - штука, яку більшість веб-розробників знають «десь на рівні чули», але рідко використовують на повну. А даремно. Це як мати ключ від чорного входу, який при цьому повністю легальний і безпечний.

Сьогодні ми розберемо SSH-тунелі не як абстрактну теорію з підручника, а як практичний інструмент. Крок за кроком, з реальними командами, сценаріями і помилками, на яких я сам набивав гулі.

Що таке SSH-тунель і навіщо він вам потрібен

SSH-тунель - це зашифрований канал між двома точками, який працює поверх звичайного SSH-з'єднання. Думайте про нього як про підземний хід у середньовічному замку. Ззовні стіни виглядають неприступно, але якщо знаєш де вхід - проходиш тихо і безпечно.

Технічно все просто: SSH-клієнт на вашому комп'ютері створює захищене з'єднання з сервером і "прокидає" через нього трафік до потрібного порту або сервісу. Весь трафік всередині тунелю зашифрований, навіть якщо оригінальний протокол (MySQL, Redis, HTTP) передає дані відкритим текстом.

Основні сценарії, коли SSH-тунель рятує життя:

Доступ до бази даних - коли порт 3306/5432 закритий ззовні (і правильно, що закритий!)
Адміністрування закритих панелей - phpMyAdmin, Adminer, внутрішні дашборди
Безпечна робота з публічного Wi-Fi - трафік летить у зашифрованій трубі, а не голяком
Обхід мережевих обмежень - коли корпоративний файрвол блокує потрібні порти
Дебаг віддалених сервісів - підключення IDE до XDebug, Redis-cli до віддаленого кешу

Безпечне підключення до сервера через захищений канал передачі даних SSH

Три типи SSH-тунелів: коли який використовувати

Тут починається та частина, де у багатьох вмикається режим «зрозумію потім». Не вмикайте. Є лише три типи, і кожен вирішує конкретну задачу.

Тип тунелю	Команда	Напрямок трафіку	Типовий сценарій
Local (-L)	ssh -L 3307:localhost:3306 user@server	Ваш ПК → сервер	Доступ до MySQL на сервері через локальний порт
Remote (-R)	ssh -R 8080:localhost:3000 user@server	Сервер → ваш ПК	Показати локальний dev-сайт колезі без деплою
Dynamic (-D)	ssh -D 1080 user@server	SOCKS-проксі через сервер	Весь трафік браузера через сервер

Local forwarding (-L) - це ваш хліб із маслом. 90% задач вирішуються саме ним. Ви кажете: «Все, що приходить на мій локальний порт 3307, відправ через тунель на порт 3306 сервера». Просто. Елегантно. Безпечно.

Remote forwarding (-R) - зворотна історія. Сервер слухає порт і відправляє трафік до вас. Ідеально, коли треба показати замовнику локальну версію сайту, а ngrok чомусь не варіант.

Dynamic forwarding (-D) - перетворює ваш сервер на SOCKS-проксі. Корисно, але використовується рідше.

Покрокова практика: підключаємось до бази через SSH-тунель

Досить теорії. Давайте зробимо те, заради чого ви тут - підключимо MySQL через SSH-тунель. Я покажу три способи: через термінал, через DBeaver і через VS Code.

Відкрийте термінал і виконайте: ssh -L 3307:127.0.0.1:3306 youruser@yourserver.com -N -f. Прапор -N означає «не запускай shell», а -f - «йди у фон».
Перевірте, що тунель працює: lsof -i :3307 або ss -tlnp | grep 3307. Якщо бачите рядок з ssh - все ок.
Підключіться до бази: mysql -h 127.0.0.1 -P 3307 -u db_user -p. Зверніть увагу - хост саме 127.0.0.1, а не localhost. Це важливо, бо MySQL на деяких системах трактує localhost як з'єднання через socket-файл, а не через TCP.
Працюйте як зазвичай. Для вашого MySQL-клієнта все виглядає так, ніби база локальна. Ніякої різниці.
Завершіть тунель, коли закінчили: знайдіть PID через ps aux | grep ssh і вбийте процес через kill PID.

У DBeaver ще простіше - при створенні підключення перейдіть на вкладку SSH, увімкніть тунель, вкажіть хост, логін і ключ. Програма зробить все сама.

«SSH tunneling is one of the most underutilized features in a developer's toolkit. It's been solving problems since 1995 that people still try to fix with complex VPN setups.» - Daniel Stenberg, автор curl і libssh2

Інженер налаштовує серверну панель для SSH port forwarding покроково

Помилки, які зроблять усі (і як їх уникнути)

За 15 років роботи я бачив одні й ті самі граблі. Ось хіт-парад:

Помилка №1: порт вже зайнятий. Ви пишете -L 3306:localhost:3306, а у вас локально вже крутиться MySQL. Результат - "Address already in use". Рішення елементарне - використовуйте інший локальний порт. 3307, 3308, що завгодно.

Помилка №2: localhost vs 127.0.0.1. Я вже згадував це вище, але повторю, бо половина тікетів на Stack Overflow саме про це. У команді SSH localhost і 127.0.0.1 на стороні сервера - зазвичай одне і те ж. А от у MySQL-клієнті на стороні клієнта - ні.

Помилка №3: забули прапор -N. Без нього відкриється інтерактивна SSH-сесія, і тунель помре, коли ви закриєте вікно терміналу. Додавайте -N завжди, коли вам потрібен лише тунель.

Помилка №4: хостинг забороняє SSH. На деяких shared-хостингах SSH або вимкнено, або обрізано до мінімуму. Перед покупкою хостингу завжди перевіряйте, чи дають повноцінний SSH-доступ. Без нього ви як механік без ключів - дивитесь на двигун, але нічого зробити не можете.

Помилка №5: тунель "висне" через таймаут. SSH-з'єднання може розірватись через неактивність. Додайте в ~/.ssh/config:

Host * ServerAliveInterval 60 ServerAliveCountMax 3

Це змусить клієнт пінгувати сервер кожні 60 секунд. Тунель буде живий, поки вам потрібен.

SSH-тунелі vs VPN: що обрати для роботи з хостингом

Питання, яке мені ставлять постійно. Відповідь залежить від задачі.

SSH-тунель - це скальпель. Точний, легкий, для конкретного порту. VPN - це кувалда. Весь трафік, всі порти, повна інтеграція в мережу.

Для доступу до одного сервісу (база, панель, кеш) - SSH-тунель. Швидше налаштувати, менше оверхед, не потрібно ставити додаткове ПЗ.
Для постійної роботи з десятком сервісів у приватній мережі - VPN. WireGuard налаштовується за 10 хвилин і працює стабільно.
Для разових задач з чужого комп'ютера - SSH-тунель. Потрібен лише термінал або PuTTY.

Є ще один аргумент на користь SSH-тунелів: вони не потребують root-доступу на сервері. Звичайний користувач з SSH-ключем може створити local forwarding без жодних привілеїв. VPN зазвичай вимагає адміністративних прав з обох сторін.

Схема як підключитись до бази через SSH-тунель між сервером і клієнтом

Автоматизація: SSH-тунелі, які запускаються самі

Якщо ви щодня відкриваєте тунель до бази - автоматизуйте це. Набридливі рутинні дії - ворог продуктивності.

Найпростіший шлях - alias в ~/.bashrc або ~/.zshrc:

alias dbtunnel='ssh -L 3307:127.0.0.1:3306 user@server -N -f'

Тепер замість довжелезної команди ви просто пишете dbtunnel. Три секунди, і ви підключені.

Для більш серйозних сценаріїв використовуйте ~/.ssh/config:

Host production-db HostName yourserver.com User youruser LocalForward 3307 127.0.0.1:3306 LocalForward 6380 127.0.0.1:6379 IdentityFile ~/.ssh/id_ed25519 ServerAliveInterval 60

Тепер ssh -N production-db одночасно прокидає і MySQL на порт 3307, і Redis на порт 6380. Один рядок замість двох довгих команд.

На macOS можна додати тунель в LaunchAgent, на Linux - в systemd service. Тунель буде підніматись автоматично при завантаженні системи і перезапускатись при обриві. Але це вже для тих, хто працює з сервером щодня - для решти alias цілком вистачить.

SSH-тунелі існують з 1995 року. Їм майже 30 років. Вони пережили десятки технологічних хвиль, сотні "наступних великих речей" - і досі працюють. Просто, надійно, без підписки за $15/місяць. Може, замість чергового SaaS-рішення варто просто вивчити інструмент, який вже є на кожному сервері? Спробуйте сьогодні - відкрийте термінал і створіть свій перший тунель. Ви здивуєтесь, скільки задач він закриває.

#ssh port forwarding #ssh-тунелі на хостингу #безпечне підключення до сервера #налаштування ssh-тунелю покроково #як підключитись до бази через ssh-тунель