Pb de tunnel ssh pour faire passer de l'http [Deb] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 17-07-2007 à 22:08:24
heu je suis pas sûr que t'es compris exactement comment marche le bouzin...
Si tu veux surfer sur le web de la manière suivante :
client --- SSH --- Serveur SSH ---------------Acces au monde
- il faut que tu aies un PROXY sur ton serveur SSH (ou dans le coin).
- que tu configures ton tunnels pour que les requetes en local sur le port 13128 par exemple soient forwardées sur le port 3128 du proxy (3128 car c'est le port par défaut de squid, 13128, pourquoi pas...)
- tu configures ton browser web pour utiliser un proxy (localhost port 13128)
La ce que tu fais c'est juste que :
1. tu as un tunnel SSH qui va tunnelé le trafic dirigé sur ton port local 2345 vers le port 80 de ton localhost.
2. ton navigateur va essayé d'ouvrir une session TCP sur ton port local 2345 qui va le mettre dans le SSH qui va le forwarder à ton localhost sur le port 80... bref pas grand chose.
3 ton w3m essaye de se connecter directement sur le port 2345 de www.google.com => ton trafic est droppé par les FW de google...
Marsh Posté le 17-07-2007 à 22:14:55
Merci beaucoup, donc j'ai bien loupé un truc. Je me demandais bien comment le client ssh pouvait "attraper" les requetes web et les envoyer.
Je vais essayer ça.
Marsh Posté le 18-07-2007 à 00:36:49
ah bah il peut très bien se connecter par SSH à son serveur, et de là utiliser lynx ou autre.
Marsh Posté le 18-07-2007 à 14:50:34
le ssh tunnel vers un squid c'est wof
man ssh
ssh -D
proxy SOCKS toussa
ça demande rien, ça marche tout seul
Marsh Posté le 18-07-2007 à 21:17:25
Ok, merci Taz, ça marche bien avec un serveur proxy SOCKS. Enfin en local. Demain, je vais faire un test grandeur nature et voir si ça marche.
Merci pour vos réponses rapides !
Maintenant, est-ce que vous savez comment faire pour éviter de taper à chaque fois :
# /etc/init.d/networking restart
quand le pc est déconnecté puis reconnecté ?
Merci
Marsh Posté le 18-07-2007 à 21:33:22
ca doit se gérer tout seul avec les if-up et if-down dans /etc/network
Marsh Posté le 19-07-2007 à 09:06:49
utilise network-manager sinon, c'est pas mal.
Marsh Posté le 19-07-2007 à 20:16:40
Merci gee, je vais voir ça.
Sinon J'ai essayé aujourd'hui avec le pc du boulot.
Je n'ai pas pu atteindre ma machine. Même pas un ping ni une connection ssh.
Et je suis sûr de pouvoir le faire car j'ai déjà un ping du temps qu'elle tournait sur XP.
Pour l'instant, comme je teste, je n'ai pas de pare-feu ni iptables. Je ne comprend pas pourquoi je peux atteindre le pc...
Quand je suis physiquement devant ma machine (debian) je peux me pinger en utilisant mon DNS homeunix. Donc les paquets passent.
Une idée ?
Merci
Marsh Posté le 19-07-2007 à 20:55:10
ton travaille qui te bloque les ping et le ssh?
Marsh Posté le 19-07-2007 à 21:41:15
ben c'est possible, mais ya 2 mois je passais par une machine chez moi sous windows avec proxyphp et j'y accedais donc en port 80 et le port du ping qui marchait aussi.
Je précise que les DNS sont filtrés mais ils autorisent les homeunix de dyndns. Je passe donc par mon homeunix qui marchait avant et qui marche toujours...
Je pense que je vais demander a qqn de faire un ping sur ma machine depuis chez lui...
Ya pas un truc qui pourrait bloquer le trafic sortant autre que vers localhost ?
Marsh Posté le 19-07-2007 à 21:52:35
pomcuite a écrit : ben c'est possible, mais ya 2 mois je passais par une machine chez moi sous windows avec proxyphp et j'y accedais donc en port 80 et le port du ping qui marchait aussi. Je pense que je vais demander a qqn de faire un ping sur ma machine depuis chez lui... Ya pas un truc qui pourrait bloquer le trafic sortant autre que vers localhost ? |
Le "ping" n'a pas de port, c'est un message ICMP echo. Le firewall de l'entreprise peut autoriser ce message (et sa réponse à passer) et filtrer le trafic TCP/UDP qui eux utilisent la notion de "port". On peut etre dans le cas où un port (part exemple TCP 80 (HTTP)) est autorisé vers un site mais que le ping est refusé. Il ne faut pas baser sa conclusion sur l'accessibilité d'un équipement seulement sur un Ping...
Il peut y avoir un élément "transparent" vérifiant que le trafic HTTP est bel et bien du trafic HTTP. Dans ce cas, tu ne pourras pas faire passer ton SSH sur le port 80 (si le 22 est fermé).
A toi de trouver un port ouvert, tel que aucun élément intermédiaire vérifie exactement le protocole y transitant. Généralement le 443 pour HTTPS n'est pas soumis à une telle vérification, sinon le 8080, 8181... bref.
Petite remarque en passant :
- Si des restrictions sont mises en places, c'est qu'il y a une raison. Tu as dû signer une charte pour l'utilisation des systèmes informatique de ta boite, et si elle est bien élaborée, tu n'as pas le droit de contourner ces règles de filtrage. Si tu es pris, des sanctions peuvent être pris contre toi. La technique du tunnel SSH est connue des admins réseau/systèmes (s'ils la connaissent pas, faudrait qu'ils pensent à se faire faire des formations)... De plus elle n'est pas vraiment "discrète"...
Marsh Posté le 19-07-2007 à 22:11:01
clair que si tu te fais prendre tu risques la porte, par contre moi avec mon ajaxterm à la maison pas de soucis, vu que je ne fais que consulter une page web de plus
Marsh Posté le 17-07-2007 à 22:02:11
Bonjour tout le monde.
Je désire utiliser internet à travers un tunnel ssh.
Mon poste client sera un Windows et mon serveur ssh un debian.
Pour l'instant je teste que sur la debian pour voir si j'arrive à le faire en local -> plus simple avec un seul ordinateur.
J'ai installé OpenSsh et essayé de configurer le sshd_config comme j'ai pu grâce aux infos collectées sur le net,
Voici les lignes que j'ai rajoutées
Ensuite, je me logue avec la commande :
ssh -L 2345:localhost80 pomcuite@localhost
et j'essaye une page web avec :
w3m http://www.google.com:2345
Ensuite, il fait un "Opening Sockets" ou "Creating Sockets" pendant longtemps puis un :
w3m: Can't load http://www.google.com:2345.
Une page blanche avec un navigateur avec proxy configuré localhost et port 2345
Ai-je faux quelque part ?
Merci