salut,
 
j aimerai pouvoir acceder en ssh depuis l exterieur a ma passerelle
 
alors kelle est la meilleur solution (nivo secu bien sur ) pour mettre en place ce genre de chose ??
 
je sais k il existe des applets java, mais bon, est ce aussi reactif qu avec une console ssh ???
 
si j utilise sshd, est ce ke je peux le faire ecouter seulement sur ppp0, chroote, login user only (puis une fois logge, je peux me loger en root ??)
 
 
bref, bcp d interrogations
 
 
voilou, les pros de la secu, je m en remets a vous

je suis loin d'etre un pro .. mais a mon avis, si sur ta passerelle tu met un firewall qui laisse que le port 22 d'ouvert (et les autres dont tu as besoin bien sur), tu install openssh dessus, tu lui fait ecouter sur le port 22, tu laisse la config par defaut, et tu utilise n'importe quel client, tu auras une secu largement suffisante .... a moins d'etre vraiment le site d'une multinationnale et tout et tout ...

arf j ai oublie de preciser certaines choses importants
 
- j ai mis iptables comme firewall, ou aucun n est ouvert pour l instant (sauf 80 pour apache et 4662 )
- comme je veux y acceder depuis le taf, je me heurte a un proxy qui ne laisse sortir ke le port 80
 
donc soit je mets ssh sur le port 80, soit j utilise mon apache en mode ssl sur le port 443 avec l applet java
 
 
c po un peu bourin ssh sur le port 80 kan meme ??

utilise un tunneling ssh.(HTTPTunnel)
ça écoute sur le port 80 et ça redirige ensuite le ssh encapsulé vers ton port 22

changes le port d'ecoute du ssh !
par exemple, tu passes de 22 a 222

ssh sur le port 222 -> bah le proxy du taf me laissera pas passer
 
httptunnel, ok, mais mon site web, je le passe en ssl alors ...
 

mais pourkoi tu veux un site ouaib ???? il n'a roen a voar dans laffaire..
tu install httptunnel sur ton server .. tu lui dit que ce qui arrive sur le port 2222 c'est pour le port 22.
Ensuite, sur ton PC au taf, tu install htc (httptunnel client) et tu lui dis que tout ce qui arrive sur localhost sur le port que tu veux (par ex 2222) doit passer a travers le proxy pour aller sur ton server, sur le port 2222.
Ensuite, tu prend ton client ssh (putty par ex) et tu lui dis de se conecter sut localhost, port 2222.
Et pas de apache, rien

 
ah ok, donc du cote du taf, httptunnel peut se connecter sur un autre port que le 80 (meme a vec le proxy qui ne laisse sortir ke le 80??)
 
 

htc recois toutes les requetes sur localhost et sur un certain port (ca reste en local donc)et les envoie au travers du port 80 vers ton server sur un autres port ..
 
 
edit: tout ce qu'il faut du coté du client sous win: http://www.gnuage.org/

bon pour la partie client j ai bien ki a un "demon" qui ecoute pour envoyer ca vers ma passerelle
 
mais je comprends moi ca :  
comment httptunnel sur le client peut rediriger le flux par le proxy (port 80 donc) sur le port 2222 de ma passerelle, puisque le proxy n autorise rien d autre comme port de sortie que le port .... 80 !
 
 

voilà comment moi je comprend le fonctionnement de httptunnel :
côté client (donc du taf) : tout tes paquets sont encapsulé dans du http et sorte par le port 80 (heureusement paske ta pa le choix).
côté serveur : ta passerelle reçoit les paquets ssh encapsulés sur le port 80 (c bon tu l as déjà ouvert avec iptables) les désencapsule   puis les redirige vers le port 22.
Donc y a pas de raion pour que ça marche poa

j ai pas dis ke ca marcherai po, mais trictrac me disait ke httptunnel sur ma passerelle ecouterai sur le port 2222 par ex, or je pense ke c est po possible a cause du proxy du taf
 
ai-je raison ??

essaie, je sais plus comment ca marche . mais ca doit pas etre ca, parce que j'avais un server HTS et apache qui tournaient en mme temps, donc?...

toi t'as du bol, je vien de tomber la dessus par hazard:
http://linuxfr.org/tips/130.html

   
 
donc tu avais raison  

Coment as tu pu douter

bon en fait j avais raison (je me disais aussi   )
 
pour preuve, extrait de la faq httptunnel
 

 
 
donc c est bien normal ke le hts ecoute sur le port 80 avec un proxy au taf qui ne laisse sortir en dest que le port 80

pour ton info, ton proxy (si je me trompe pas) ne t'interdit pas de te connecter a des ports superieur a 1024 ... donc sur ton server chez toi, tu peux tres bien rediriger le port 2222 vers 23 .. pas de prob .. tant que c'est du traffic HTTP ...
Et c'est ca l'interet du httptunnel, c'est de transformer ton flux en flux HTTP que le proxy il y vois que du feu

nan, je crois ke le proxy interdit tout autre port ke le port 80 (http donc )
bah oui, seul le trafic internet est autorise (koi ke le ftp aussi je crois )
 
genre je crois ke ca : http://toto.com:8888 ca passe pas

ben en fait, quand tu te connecte sur le port 80, le server le note et libere une socket non priovilégiée (sup a 1024) pour le dialogue qui suit ..
sur une socket donnée il ne peut y avoir qu'une seule connection, donc ca ne serait pas possible ...
PS: si je me trompe, je suis pas aidé pour mon partiel de rezo a venir

 
j ai po tout compris la  

Zzozzo : ki a "raison" d apres toi ??

Tiré du RFC793 ( TRANSMISSION CONTROL PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION ) :
 

Bon, tu faisais quoi en cours/TP de réseaux ? tu dormais ou quoi ? ...
 
 
EDIT : Honte à toi, je suis un GL ...   ...  

 
tu as compris ce ke je disais au moins (au nivo du port 80) ??
 
j ai bien compris k il y a un port src et un port dst
 
mon port src sera > 1024, mais mon port dest devra etre soit 80 ou 21 (a cause du proxy)
 
n est ce pas ?
 
ps : je parle du pc qui est au taf bien evidement

Cé quoi comme proxy ? Un proxy mandataire genre Squid ? ou un proxy SOCKS 5 par exemple ?

ca je sais po trop
je sais juste ke c est un proxy http, sur le port 80, sans authentification

Tu confonds proxy et firewall la... c'est pas la meme chose    

le proxy est couple avec un firewall
 

Y'a de fortes chances que ce soit un proxy mandataire ...
Ben en fait, les ports à travers lesquels tu "peux passer" dépendent de la config de celui ci ...
La cas typique serait qu'il ne laisse passer que les requetes vers le port 80 (port HTTP par défaut) voire aussi le port 21 (port FTP par défaut, en simplifiant car FTP est un cas un peu particulier) ... donc toi de l'autre côté du dois faire écouter sur le port 80 ou 21, par exemple, dans ce cas là ... stout ...

Dis moi, pour surfer, tu indiques à ton browser qu'il doit utiliser un proxy ? ou pas besoin ? ...

sbien ske je disais  

Attention, qd je dis tu écoutes à l'autre bout sur le port 80 voire 21, cé l'autre bout du tunnel http(s) qui doit écouter, et qui va "désencapsuler" les paquets de http(s) et les forwarder là ou il faut ... on s'est bien compris ...

 
tu parles bien de hts (httptunnel server qui tournera sur ma passerelle chez moi, donc a l ext du taf ) qui ecoutera sur le port 80 ou 21
 
en gros :

 
ps : c koi la difference entre server mandataire (proxy) et "proxy" SOCKS 5 ??

En très gros oui ... sauf que si jé bien compris avec ton package httptunnel, si tu entres en 10000 en local, tu dois sortir en 10000 en distant ... non ?

j ai mis 10000 car je ne sais pas kel port il va ouvrir
 
pour le lance (le client) il demande seulement de savoir sur kel port ecoute le server (avec son ip/adresse evidement), et s il y a un proxy (et sur kel port)
 
donc le port 10000, c le client ki se demerde avec (normal en fait )

La dessus je sais car j'utilise pas ...
Car le firewall piercing cé mal .... ...

 
c po du firewall piercing
 
je veux juste pouvoir me logger chez moi en ssh
 
d ailleurs, d un point de vue secu (pour moi, pas le taf lol ), est ce reisque ??
car meme si la liaison est cryptee, je me dis k on sait jamais kan meme