Re: Pasarela SSH
El Sun, 15 Feb 2015 16:06:03 +0100, José Miguel (sio2) escribió: El Sun, 15 de Feb de 2015, a las 01:25:08AM -0300, Jorge A. Secreto dijo: Justamente, si el servidor 1 hace un túnel desde, por ejemplo, su puerto 1022 al puerto ssh del servidor 2, lo único que cambia para el usuario 2 es el puerto al que se conecta ¿eso no te sirve? Sí, es una mejor solución que la segunda que he propuesto: sólo había pensado en establecer el túnel desde el cliente previamente, y no en tener establecido un túnel permanente desde el servidor, lo cual implicaba tener que hacer dos conexiones. Tal y como lo propones, el cliente sólo tendría que hacer una (aunque a distinto puerto). (...) Camaleón hablamente me respondió también, pero lo que he podido leer en todos los documentos propone algo parecido a mi segunda solución sólo que en vez de usando ForceCommand en el servidor, usando ProxyCommand en el cliente. ? Más bien tenía en mente algo más sencillo como encadenar comandos (esto es de los resultados de Google): Is it possible to chain from one terminal to another via SSH in one series of commands in linux? http://stackoverflow.com/questions/20079646/is-it-possible-to-chain-from-one-terminal-to-another-via-ssh-in-one-series-of-co Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.02.16.15.05...@gmail.com
Re: Pasarela SSH
El Sun, 15 de Feb de 2015, a las 01:25:08AM -0300, Jorge A. Secreto dijo: Justamente, si el servidor 1 hace un túnel desde, por ejemplo, su puerto 1022 al puerto ssh del servidor 2, lo único que cambia para el usuario 2 es el puerto al que se conecta ¿eso no te sirve? Sí, es una mejor solución que la segunda que he propuesto: sólo había pensado en establecer el túnel desde el cliente previamente, y no en tener establecido un túnel permanente desde el servidor, lo cual implicaba tener que hacer dos conexiones. Tal y como lo propones, el cliente sólo tendría que hacer una (aunque a distinto puerto). El caso es que lo que realmente me gustaría es ver si se puede resolver el primer planteamiento. La realidad es que ambos ordenadores tienen salida directa a internet con ip propia, de manera que se puede acceder a ellos directamente. Uno, sin embargo, presenta problemas en su conexión por motivos que no vienen al caso, y a veces se queda sin este acceso directo. Sin embargo, ambos tienen una forma de acceso llamémoslo interno, y ese acceso sigue funcionando. Por tanto, aunque el acceso externo al Servidor2 está caído, se puede acceder a él a través del Servidor1. En el modo normal de funcionamiento el dominio del Servidor2 lo gestiona él mismo y el Servidor1 hace de servidor esclavo. Ahora bien, cuando se produce una caída de Servidor2, el Servidor1 la detecta y cambia su rol y se pone a trabajar como servidor maestro de dicho dominio, haciendo además que el dominio resuelva a su ip y no a la de Servidor2. De esa forma todas las conexiones que originariamente iban al Servidor2 acaban en el Servidor1. Para que esto funcione aceptablemente el TTL de los registros es pequeño (5 minutos). En estas condiciones: $ ssh usuar...@servidor2.com conecta directamente con Servidor2, pero cuando la conexión está caída ese mismo comando acaba en Servidor1. La idea es que pueda encuazarlo internamente hacia Servidor2. El problema es que usuario2 no tiene (ni tiene por qué tener) cuenta en Servidor1. Si se pudieran mapear usuarios en SSH, podría hacer que cuando el dominio es servidor2.com todos los usuarios se mapearan a uno en particular creado ex-profeso y que esté fuera el que conectara con el servidor2 con un ForceCommand. Pero esto que digo no veo que se pueda hacer. Camaleón hablamente me respondió también, pero lo que he podido leer en todos los documentos propone algo parecido a mi segunda solución sólo que en vez de usando ForceCommand en el servidor, usando ProxyCommand en el cliente. Un saludo. -- Flérida para mí dulce y sabrosa, más que la fruta de cercado ajeno. --- Garcilaso de la Vega --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150215150603.ga23...@cubo.casa
Re: Pasarela SSH
El Sun, 15 de Feb de 2015, a las 04:06:03PM +0100, José Miguel (sio2) dijo: registros es pequeño (5 minutos). En estas condiciones: $ ssh usuar...@servidor2.com conecta directamente con Servidor2, pero cuando la conexión está caída ese mismo comando acaba en Servidor1. Antes de que alguien me corrija: sí, saltará el chivato de que puede haber una suplantación de identidad. -- Los grandes hombres solemos ser modestos. --- Juan de Mairena -- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150215173629.ga29...@cubo.casa
Re: Pasarela SSH
El 15/02/2015 12:06, José Miguel (sio2) sio2.sio2+lista.deb...@gmail.com escribió: El Sun, 15 de Feb de 2015, a las 01:25:08AM -0300, Jorge A. Secreto dijo: Justamente, si el servidor 1 hace un túnel desde, por ejemplo, su puerto 1022 al puerto ssh del servidor 2, lo único que cambia para el usuario 2 es el puerto al que se conecta ¿eso no te sirve? Sí, es una mejor solución que la segunda que he propuesto: sólo había pensado en establecer el túnel desde el cliente previamente, y no en tener establecido un túnel permanente desde el servidor, lo cual implicaba tener que hacer dos conexiones. Tal y como lo propones, el cliente sólo tendría que hacer una (aunque a distinto puerto). El caso es que lo que realmente me gustaría es ver si se puede resolver el primer planteamiento. La realidad es que ambos ordenadores tienen salida directa a internet con ip propia, de manera que se puede acceder a ellos directamente. Uno, sin embargo, presenta problemas en su conexión por motivos que no vienen al caso, y a veces se queda sin este acceso directo. Sin embargo, ambos tienen una forma de acceso llamémoslo interno, y ese acceso sigue funcionando. Por tanto, aunque el acceso externo al Servidor2 está caído, se puede acceder a él a través del Servidor1. En el modo normal de funcionamiento el dominio del Servidor2 lo gestiona él mismo y el Servidor1 hace de servidor esclavo. Ahora bien, cuando se produce una caída de Servidor2, el Servidor1 la detecta y cambia su rol y se pone a trabajar como servidor maestro de dicho dominio, haciendo además que el dominio resuelva a su ip y no a la de Servidor2. De esa forma todas las conexiones que originariamente iban al Servidor2 acaban en el Servidor1. Para que esto funcione aceptablemente el TTL de los registros es pequeño (5 minutos). En estas condiciones: $ ssh usuar...@servidor2.com conecta directamente con Servidor2, pero cuando la conexión está caída ese mismo comando acaba en Servidor1. La idea es que pueda encuazarlo Cuando uno tiene un martillo todos los problemas son clavos ;-) Insisto en mi solución, si le pudieras poner una segunda ip al servidor 1y redirigir el puerto ssh del dos al ssh de esa dirección me parece que lo tendrías resuelto. ...
Re: Pasarela SSH
Hola, primera vez desde el celular, no se si va en texto o en html. Se aceptan retos El 14/02/2015 15:24, Camaleón noela...@gmail.com escribió: El Sat, 14 Feb 2015 18:49:32 +0100, José Miguel (sio2) escribió: Un saludo a la lista: Por motivos un poco prolijos de explicar quiero acceder a un servidor SSH a través de otro servidor SSH de la manera más transparente posible: Cliente - Servidor1 Servidor2 Por supuesto se qué existen túneles para poder hacer esto, pero mi intención es que el usuario notase lo menos posible. Justamente, si el servidor 1 hace un túnel desde, por ejemplo, su puerto 1022 al puerto ssh del servidor 2, lo único que cambia para el usuario 2 es el puerto al que se conecta ¿eso no te sirve? Mi idea inicial, aunque creo que es imposible de llevar a cabo es la siguiente: (...) ¿Alguien tiene alguna idea para solucionar los problemas del primer método o se le ocurre algún método que sea menos engorroso que este segundo? ... Saludos
Re: Pasarela SSH
El Sat, 14 Feb 2015 18:49:32 +0100, José Miguel (sio2) escribió: Un saludo a la lista: Por motivos un poco prolijos de explicar quiero acceder a un servidor SSH a través de otro servidor SSH de la manera más transparente posible: Cliente - Servidor1 Servidor2 Por supuesto se qué existen túneles para poder hacer esto, pero mi intención es que el usuario notase lo menos posible. Mi idea inicial, aunque creo que es imposible de llevar a cabo es la siguiente: (...) ¿Alguien tiene alguna idea para solucionar los problemas del primer método o se le ocurre algún método que sea menos engorroso que este segundo? Google devuelve algunas cosicas interesantes, a ver si te sirven o te dan alguna pista: Palabra clave: ssh chain connection https://www.google.es/webhp?complete=0hl=engws_rd=cr,sslei=zJHfVLG-JczzUuzQgoAC#complete=0hl=enq=ssh+chain+connection Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.02.14.18.23...@gmail.com
Pasarela SSH
Un saludo a la lista: Por motivos un poco prolijos de explicar quiero acceder a un servidor SSH a través de otro servidor SSH de la manera más transparente posible: Cliente - Servidor1 Servidor2 Por supuesto se qué existen túneles para poder hacer esto, pero mi intención es que el usuario notase lo menos posible. Mi idea inicial, aunque creo que es imposible de llevar a cabo es la siguiente: 1. Asigno dos nombres a la ip del Servidor1 (pongamos que servidor1.com y servidor2.com). 2. Cuando quiero acceder por SSH al servidor1 hago lo siguiente: $ ssh usuar...@servidor1.com 3. Cuando quiero acceder por SSH al servidor2 hago lo siguiente: $ ssh usuar...@servidor2.com He de aclarar que en el servidor 1 existen unos usuarios y en el servidor 2 otros usuarios independientes entre sí, así que se supone que usuario2 es un usuario que existe en Servidor2, pero no en Servidor1. Sé que esto es medianamente abordable con la directiva Match ya que puedo poner como condición el nombre de Host y forzar luego el comando de conexión ssh hacia Servidor2. El problema de todo esto está en que el servidor SSH de Servidor1, me exige que me autentifique y usuario2 no tiene por qué existir. Creo que tampoco puedo abordar esto intentando manipular la autentificación con PAM, porque en pam soy incapaz de saber cómo ha sido el acceso ssh, si a servidor1.com o a servidor2.com. Por esta vía, que es la que realmente me parece más interesante, no sé seguir y la veo totalmente irresoluble. Se me ha ocurrido otra solución, aunque me gusta bastante menos porque no es tan transparente. Consiste en crear un usuario llamado pasarela que permtia la autentificación clave de manera que nos ea necesaria contraseña. En este caso el acceso al segundo servidor sería así: $ ssh pasar...@usuario2.servidor1.com de manera que en el nombre de la máquina estaría incluido el nombre de usuario que se quiere usar en el Servidor2. A partir de ello, el script que arrancara ForceCommand se encargaría de crear el comando ssh que conectara con el segundo servidor. Lo guarro de esta segunda conexión, a parte de que el comando ya no es transparente, es que además tendría que dar a todos los usuarios que usaran esto, una clave privada cuya clave pública estuviera en el authorized_keys de pasarela. ¿Alguien tiene alguna idea para solucionar los problemas del primer método o se le ocurre algún método que sea menos engorroso que este segundo? -- Como todo al fin se sabe yo he sabido la verdad. --- Muñoz Seca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150214174932.ga29...@cubo.casa
RE: Pasarela SSH
Hola, primera vez desde el celular, no se si va en texto o en html. Se aceptan retos El 14/02/2015 15:24, Camaleón noela...@gmail.com escribió: El Sat, 14 Feb 2015 18:49:32 +0100, José Miguel (sio2) escribió: Un saludo a la lista: Por motivos un poco prolijos de explicar quiero acceder a un servidor SSH a través de otro servidor SSH de la manera más transparente posible: Cliente - Servidor1 Servidor2 Por supuesto se qué existen túneles para poder hacer esto, pero mi intención es que el usuario notase lo menos posible. Justamente, si el servidor 1 hace un túnel desde, por ejemplo, su puerto 1022 al puerto ssh del servidor 2, lo único que cambia para el usuario 2 es el puerto al que se conecta ¿eso no te sirve? Mi idea inicial, aunque creo que es imposible de llevar a cabo es la siguiente: Y que hay con una DMZ. saludos WRC
