Aprenda como acessar seu servidor SSH de forma segura usando Cloudflare Tunnel e PuTTY, sem precisar expor a porta 22 para a internet. Esse método é confiável, seguro e funciona direto no Windows com o WARP Client.
Pré-requisitos
- Servidor Linux com SSH ativo (porta 22 ou outra).
- Cloudflare Zero Trust configurado para o seu domínio.
- Tunnel ativo no servidor (
cloudflaredrodando). - Windows com PuTTY e WARP Client instalados.
- Binário cloudflared.exe baixado (ou renomeado para
cloud.exepara facilitar no Windows).
Passo 1 – Criar o Public Hostname no Cloudflare
- Acesse Network → Tunnels → Seu túnel.
- Vá em Public Hostnames → Add a Hostname.
- Preencha os campos:
- Hostname:
ssh_super.devdata.com.br - Service / Origin:
localhost:22 - Protocol: SSH
- Hostname:
- Salve.
Isso expõe seu SSH via Cloudflare Tunnel, mantendo o tráfego seguro e sem abrir diretamente a porta 22 para a internet.
Passo 2 – Configurar a política de Access (opcional)
- Vá em Access → Applications → Policies.
- Crie uma política permitindo apenas os usuários que devem acessar o SSH.
- Se você quiser ignorar a política, é possível, mas perde controle de segurança.
Passo 3 – Rodar Cloudflared como proxy local no Windows
Abra o PowerShell ou Prompt de Comando e execute:
cloudflared.exe access ssh --hostname ssh.meuservidor.com.br --url ssh://localhost:2222
- Isso cria um proxy local na porta
2222. - Todo o tráfego SSH passa pelo Cloudflare Tunnel.
Observação importante:
Você pode renomear o binário baixado de cloudflared.exe para cloud.exe para digitar comandos mais curtos e práticos no Windows.
Passo 4 – Configurar PuTTY
- Abra o PuTTY.
- Preencha os campos:
- Host Name:
localhost - Port:
2222 - Connection type: SSH
- Host Name:
- (Opcional) Salve a sessão para reutilizar.
- Clique em Open e conecte-se com seu usuário/senha SSH ou chave privada.
O PuTTY se conecta ao
localhost:2222, que por sua vez passa pelo túnel seguro do Cloudflare.
Passo 5 – Teste e validação
Se tudo estiver correto, ao abrir a sessão PuTTY você verá o banner do servidor SSH: (algo assim)
SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u6
Isso confirma que a conexão via Cloudflare Tunnel está funcionando perfeitamente.
Passo 6 – Dicas finais
- Você pode criar atalhos
.batou.ps1no Windows para abrir SSH via tunnel com um clique. - O WARP Client garante autenticação segura, mesmo sem instalar nada extra no servidor.
- É possível usar Web SSH no navegador, diretamente pelo Cloudflare Access, se não quiser usar PuTTY.
✅ Resultado final: você está conectado ao seu servidor SSH via túnel seguro, sem expor a porta 22, com autenticação gerenciada pelo Cloudflare e facilidade de uso no Windows.
