Connexion au travers d'une passerelle

• # Il faut un accès sur la gateway !

  Posté par Sebastien le 02 avril 2002 à 13:06. Évalué à 10.

  

  C'est bien gentil, mais il faut un accès sur la gateway.... ce qui n'est pas toujours le cas...
  
  Au boulot, le firewall bloque le port ssh et le web passe par un proxy... Je me demande comment faire pour contourner ça.
  Si je trouve un port ouvert, je pourrais mettre mon serveur ssh chez moi à ecouter sur ce port, ce n'est pas grave, mais en attendant, je me vois mal faire un nmap sur le firewall sans attirer l'attention !

  • [^] # Re: Il faut un accès sur la gateway !

    Posté par PLuG le 02 avril 2002 à 13:20. Évalué à 10.

    

    tu veux une piste ?
    essaye 443 (https), tu essaie d'abord avec ton navigateur sur un site de banque, c'est plus discret que nmap :-)).
    
    la plupart des proxy web sont obligé de laisser passer ces requetes, et qui plus est établissent une connexion directe puisque le contenu est de toutes facons chiffré.
    
    chez toi, a grand coup de iptables, tu redirige le port tcp/443 vers tcp/22 (comme ca ton daemon ssh tourne aussi sur le port traditionnel 22), et tu passe a travers le proxy web avec un script perl tout bete (je n'ai pas encore lu l'article j'y vais de suite pour voir ce qu'ils font).

    • [^] # Re: Il faut un accès sur la gateway !

      Posté par PLuG le 02 avril 2002 à 13:27. Évalué à 10.

      

      j'ai retrouvé l'url du script perl qui va bien pour ton probleme (bien different de celui traite dans l'article maintenant que je l'ai lu :-):
      
      http://ssh.inet-one.com/dir.1999-05/msg00011.html(...)

      • [^] # Re: Il faut un accès sur la gateway !

        Posté par kesako le 02 avril 2002 à 13:52. Évalué à 10.

        

        oui c'est nickel mais on est oblige de choisir :
        soit mettre le serveur sshd sur le 443 soit y mettre le serveur apache securisé ( https).
        
        ce qui oblige a utiliser le http (80) non securisé si on veut aussi un serveur web.
        
        pas glop !

        • [^] # Re: Il faut un accès sur la gateway !

          Posté par Toufou (site web personnel) le 02 avril 2002 à 14:47. Évalué à 10.

          

          Bah, tu rediriges en fonction de la source de la connexion
          => si c'est ton ip du boulot -> ssh
          => si c'est une autre ip -> https

    • [^] # Re: Il faut un accès sur la gateway !

      Posté par Sebastien le 02 avril 2002 à 13:28. Évalué à 10.

      

      chez toi, a grand coup de iptables, tu redirige le port tcp/443 vers tcp/22 (comme ca ton daemon ssh tourne aussi sur le port traditionnel 22), et tu passe a travers le proxy web avec un script perl tout bete
      
      Ahhh ça me plait ça ! Mais ou peut-on trouver ce script 'bête' qui permet de faire passer ssh par un proxy ? Je me doute qu'un proxy https est plus laxiste qu'un proxy http, le filtrage est d'un niveau plus bas.
      Hmm, je sens la libération venir !

    • [^] # Re: Il faut un accès sur la gateway !

      Posté par kesako le 02 avril 2002 à 13:48. Évalué à 10.

      

      > tu redirige le port tcp/443 vers tcp/22 (comme ca ton daemon ssh tourne aussi sur le port traditionnel 22),
      
      pas necessaire. sshd sait gerer plusieurs ports d'ecoute.

    • [^] # Re: Il faut un accès sur la gateway !

      Posté par Florent Rougon (site web personnel) le 04 avril 2002 à 11:25. Évalué à 1.

      

      Excellent ! Merci !
      
      Jusqu'à présent, j'utilisais httptunnel mais c'est
      super lent et peu fiable à cause du proxy (qui est très merdique). C'est bien-sûr beaucoup plus rapide comme ça puisque la connexion est directe. Plus fiable, je sais pas encore mais c'est probable.
      
      Pour info :
      - il suffit de rajouter Port 443 dans /etc/ssh/sshd_config (pas besoin de iptables) sur le serveur ;
      - il suffit de faire ssh -p 443 ... (pas besoin de script Perl) sur le client ;
      - il faut bien-sûr avoir mis le firewall comme routeur par défaut.

• # une libre traduction ou ..

  Posté par Gilles le 02 avril 2002 à 13:10. Évalué à -10.

  

  une traduction libre ? ;-)
  
  
  ....desole [-1]

• # hehe

  Posté par PLuG le 02 avril 2002 à 13:33. Évalué à 10.

  

  hehe, j'ai déjà utilisé ce genre de truc pour des connections ssh entrantes:
  1/ ne laisse entrer que des clefs dont la partie publique m'a ete envoye par mail (pas de connexion par mot de passe).
  2/ dans le command="...", je lance un script qui vérifie la validité de la clef (d'après la date par exemple).
  
  comme ca le type de la maintenance qui doit se connecter le 1 avril, il me donne sa clef publique et avec elle il arrive (par rebond) directement sur le système à maintenir sans connaitre le mot de passe (pas changé assez souvent et plus facile à refiler à un pote), et seulement le jour prévu. la veille ca marche pas, le lendemain ca ne marche plus...
  
  reste a logguer tout ce qu'il fait dans cette connection pour vérifier qu'il se limite a la maintenance prévue.

• # Gnu HTTP Tunnel

  Posté par toot le 02 avril 2002 à 15:10. Évalué à 10.

  

  Pour contourner les proxy les plus penibles, qui ne permettent pas de faire du CONNECT dans la requete http, il y a http://www.nocrew.org/software/httptunnel.html(...) . Ca se compose d'un client derriere le proxy qui transforme un flux tcp en un flux http et d'un serveur sur internet qui fait le contraire.
  Je m'en sers pour mon mail pop/smtp avec ssl, pour du ssh, et meme pour du vpn sur tcp avec vtun.

  • [^] # Re: Gnu HTTP Tunnel

    Posté par LeAg le 02 avril 2002 à 16:10. Évalué à 10.

    

    Dans la même veine : cURL <http://curl.haxx.se/>(...)
    
    

     Curl is a tool for transferring files withURL syntax, supporting FTP, FTPS, HTTP, HTTPS,
    
    GOPHER, TELNET, DICT, FILE and LDAP. Curl supports HTTPS certificates, HTTP POST, HTTP PUT, FTP
    
    uploading, kerberos, HTTP form based upload, proxies, cookies, user+password authentication,
    
    file transfer resume, http proxy tunneling and a busload of other useful tricks.
    
    

    
    Tout ce qu'il faut pour passer les protections mises en place par les méchants admin réseaux qui ne pensent qu'à leur sécurité :->

  • [^] # Re: Gnu HTTP Tunnel

    Posté par plusplus le 02 avril 2002 à 21:44. Évalué à 4.

    

    Personnellement je m'en sert entre un PC sous NT au boulot et mon PC sous linux a la maison: c'est de la balle ! D'autant plus que j'ai pas trouvé d'autre moyen de communiquer avec un ordinateur a l'extérieur lorsqu'il n'y a rien d'autre qu'un proxy HTTP qui tourne sur une gateway qui ne fait aucun routage IP.

  • [^] # Re: Gnu HTTP Tunnel

    Posté par aurelj le 02 avril 2002 à 21:45. Évalué à 7.

    

    Je confirme... GNU HTTP Tunnel est vraiment très pratique. Je l'utilise quotidiennement pour faire du ssh et ca marche impecable. Et pour ceux qui n'ont que windows au boulôt ou à la fac, il existe une version win32 de GNU HTTP Tunnel qui s'accouple parfaitement avec putty ( http://www.chiark.greenend.org.uk/~sgtatham/putty/(...) ), un client ssh libre pour windows.
    Finalement, on trouve toujours une solution à nos problèmes dans la galaxie des logiciels libres.

    • [^] # Re: Gnu HTTP Tunnel

      Posté par pini le 03 avril 2002 à 09:24. Évalué à 1.

      

      J'ai brièvement lu la doc. J'ai compris que cela nécessite de faire tourner un daemon côté serveur (hts).
      Supposons que je souhaite accéder par SSH à un repository CVS de SourceForge à travers le proxy du boulôt, j'intuite que ça ne marchera pas.
      Des tuyaux à ce sujet ?

      • [^] # Re: Gnu HTTP Tunnel

        Posté par feth le 03 avril 2002 à 09:48. Évalué à 1.

        

        mettre un routeur de l'autre coté du tunnel ?

  • [^] # Re: Gnu HTTP Tunnel

    Posté par feth le 03 avril 2002 à 08:07. Évalué à 2.

    

    [+] !
    Bon, j'ai juste peur du gars qui me tapera sur l'épaule en me demandant comment je fais pour lire mes mails dans cette fenetre MSDOS...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.