2010/2/11 Ionel Mugurel Ciobica <[email protected]>: > On 10-02-2010, at 18h 22'45", Petru Ratiu wrote about "Re: [rlug] tunele ssh" >> 2010/2/10 Ionel Mugurel Ciobica <[email protected]>: >> > >> > Cineva mi-a creiat un tunel de la C la A, astfel incit ma pot conecta >> > cu ssh -p 8022 localhost. >> > >> >> Inteleg ca a fost facut ca in paragraful "TCP FORWARDING" din manualul >> clientului de openssh (hint: go read it)). Asta inseamna ca a legat >> portul 127.0.0.1:8022 de pe A la 127.0.0.1:22 de pe C. > > E mult mai complicat. Calculatorul C este singurul care s-ar putea > conecta in afara retelei lui, si merge doar daca este linia asta in > .ssh/config: "ProxyCommand connect -H localhost:8080 %h %p". > Am inteles ca ruleaza ceva programe ca sa scape de restrictiile de > firewall. >
Ok, deci nu era cu tcp forwarding. Din manual (man ssh_config, cauta dupa ProxyCommand) directiva aia inseamna ca pentru grupul de hosturi in care e declarata (probabil e Host *, adica oricare), ruleaza comanda 'connect' cu parametrii aia (%h si %p sunt hostul si portul catre care ai facut ssh). Daca comanda connect e aia din pachetul connect-proxy din Debian, atunci tuneleaza ssh-ul pornit de pe masina locala prin proxy-ul de pe acelasi server (in pagina de manual ai niste exemple lamuritoare). >> > 1. de ce nu pot sa ma conectez de la B la C cu comanda: >> > ssh -p 8022 A? Asta tine de cum a fost facut tunelul sau de >> > configuratii care tin de calculatorul A? Singura solutie este sa fac >> > un tunel revers de la A la B? >> >> Pentru ca tunelul e bindat doar pe localhost, pe ip-ul extern al lui A >> nu e deschis portul ala. > > Dar pot sa-i adaug un tunel revers de la A la B, si de pe B sa fac tot > ssh -P 8022 localhost? Da. Sau si mai frumos poti face niste declaratii similare cu cea de pe C (daca n-am incurcat eu borcanele), cu ProxyCommand, folosind nc ca sa legi un tunel de altul si sa porneasca ssh-uri consecutive. La fel si de pe D spre exterior. Daca cauti pe google ceva gen "ssh chain proxycommand" o sa dai de cateva zeci de articole care descriu conexiuni ssh in stil "multihop' asa. Fa niste teste mai intai intre cateva masini sa te prinzi cine la cine se leaga si cum pana prinzi schema. Am ochit cateva articole de prin rezultatele cautarii de mai sus care si incearca sa descrie ce se intampla, citeste cateva pana pricepi si experimenteaza pana iese ce vrei. As recomanda insa sa cooperezi cu oamenii care se ocupa de firewall si/sau proxy, ca scamatoria cu ssh-over-http n-o sa reziste foarte mult timp. -- Petre "don't thread on me" Ratiu _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
