[Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[Kostarev Alexey]

[-- Attachment #1: Type: text/plain, Size: 569 bytes --]

Необходимо организовать удаленный доступ на компьютер, который имеет 
доступ в Inet только через proxy-севрер

Google подсказал мне, что в этом может помочь пакет corkscrew.
Позволит он мне это сделать?
Судя по описанию он может обеспечить доступ по ssh с компьютера из 
локальной сети на компьютер в Inet.
А организовать таким же образом туннель для доступа на локальный 
компьютер из Inet возможно?

Насколько я вижу работа над данным пакетом в sisyphus идет полным ходом. 
Будет ли он входить в Desktop или Server?

-- 
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.


[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]

begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960 
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[Motsyo Gennadi aka Drool]

Kostarev Alexey пишет:
> Необходимо организовать удаленный доступ на компьютер, который имеет 
> доступ в Inet только через proxy-севрер

	А прокси-сервер линуксовая машина или железяка? Если линуксовая - можно 
сделать проброс снаружи через него на нужную машину внутри сети. Я так 
пробрасывал vpn снаружи через машину-прокси во внутреннюю сетку.

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[George V. Kouryachy]

On Fri, Feb 08, 2008 at 06:21:22PM +0500, Kostarev Alexey wrote:
> Необходимо организовать удаленный доступ на компьютер, который имеет 
> доступ в Inet только через proxy-севрер
> 
> Google подсказал мне, что в этом может помочь пакет corkscrew.
> Позволит он мне это сделать?
> Судя по описанию он может обеспечить доступ по ssh с компьютера из 
> локальной сети на компьютер в Inet.
> А организовать таким же образом туннель для доступа на локальный 
> компьютер из Inet возможно?
Про случай когда вы сами -- администритор на прокси-машине, вам
рассказали. Если же нет, у вас должен быть аккаунт на какой-нибудь
машине в "свободном мире". После чего вам поможет ssh -L и пакет
autossh.

-- 
			George V. Kouryachy (aka Fr. Br. George)
			mailto:george at altlinux_org

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[kaf]

On Fri, Feb 08, 2008 at 04:16:47PM +0200, Motsyo Gennadi aka Drool wrote:
> Kostarev Alexey пишет:
> > Необходимо организовать удаленный доступ на компьютер, который имеет 
> > доступ в Inet только через proxy-севрер
> 
> 	А прокси-сервер линуксовая машина или железяка? Если линуксовая - можно 
> сделать проброс снаружи через него на нужную машину внутри сети. Я так 
> пробрасывал vpn снаружи через машину-прокси во внутреннюю сетку.
В данном случае имеется в виде http-прокси-севрер. 
SQUID (порт 3128) и другие прокси-сервера, обеспечивающие доступ в
Интернет по http/ftp доступу.

Этот вопрос интересует в плане поддержки удаленного доступа к
компьютерам в школе в рамках текущего проекта перевода Linux на СПО.
Необходимо для разных вариантов подключения компьютера школы к сети Inet
рассмотреть варианты удаленного захода на него 

В том случае, если компьютеры в школе имеют доступ в Inet через
DNAT/SNAT более менее понятно - с компьютера в школе запускается ssh -L
... на мой сервер. На моем сервер открывается порт, через который я могу
осуществить удаленный вход на компьютер в школе.
Этот механизм я использовал - работает отлично для проброса различных
портов (ssh, smtp, http, ...).


Но если с компьютера в школе имеется только одна дырка в Inet через
HTTP-прокси-сервер.
Как я понял в этом случае я могу возпользоваться тем же механизмом, но
прописав в качестве транспорта в настройках ssh программу corkscrew.

Она используя метод CONNECT proxy-сервера может обеспечить доступ с
компьютера в локальной сети proxy-сервера о протоколу ssh на внешний
компьютер.
Одна из проблем там описана - возможно малый TTL на CONNECT, но по-моему
эта проблема решаема...

Вопроса собственно два - работал ли кто с данным механизмом (corkscrew
судя по всему активно портируется в рамках sisyphus). Универсален ни он
- позволяет ли он проходит ЛЮБЫЕ прокси-сервера.
И позволяет ли он делать обратный проброс из внешней сети во внутреннюю? 



> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
-- 
С Уважением
Костарев А.Ф.

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 2867 bytes --]

On Sat, Feb 09, 2008 at 02:35:22PM +0500, kaf@nevod.ru wrote:
> Но если с компьютера в школе имеется только одна дырка в Inet через
> HTTP-прокси-сервер.
> Как я понял в этом случае я могу возпользоваться тем же механизмом, но
> прописав в качестве транспорта в настройках ssh программу corkscrew.

Возможный вариант (другой способ - применение transconnect; эта
программа через LD_PRELOAD подменяет функции libc, работающие с
сокетами, на свои реализации, работающие через метод CONNECT).

> Она используя метод CONNECT proxy-сервера может обеспечить доступ с
> компьютера в локальной сети proxy-сервера о протоколу ssh на внешний
> компьютер.
> Одна из проблем там описана - возможно малый TTL на CONNECT, но по-моему
> эта проблема решаема...

Для ssh можно использовать опцию ServerAliveInterval в ~/.ssh/config,
чтобы обеспечить поддержание соединения.

> Вопроса собственно два - работал ли кто с данным механизмом (corkscrew
> судя по всему активно портируется в рамках sisyphus). Универсален ни он
> - позволяет ли он проходит ЛЮБЫЕ прокси-сервера.

Проблем с использованием метода CONNECT несколько:

1. Список портов, с которыми можно устанавливать соединения, как
   правило, ограничен (например, в стандартных настройках squid
   соединения с портом 22, используемым sshd, запрещены).  Нужно либо
   договариваться с администратором прокси об открытии нужных портов,
   либо (при отсутствии возможности повлиять на настройки прокси)
   вешать sshd на один из разрешённых портов (например, на порт 443 -
   https, для которого в первую очередь и предназначался метод
   CONNECT).

2. Прокси может проверить, что соединение, установленное через метод
   CONNECT, действительно использует протокол SSL/TLS (хотя сами
   данные защищены средствами TLS, можно проверить наличие заголовков
   TLS, процесс согласования протоколов шифрования, ...); в этом
   случае проброс других протоколов (например, SSH) работать не будет.
   Правда, squid таких проверок не делает.  В случае, если попался
   такой прокси, придётся ставить на наружный сервер stunnel, чтобы
   прокси видел протокол SSL, используемый stunnel.

3. Вроде бы существуют даже такие прокси, которые при использовании
   TLS выполняют "атаку man-in-the-middle", чтобы добраться до
   зашифрованных данных (например, с целью проверки на вирусы).
   Конечно, подобное безобразие видимо для клиента (вместо сертификата
   сервера он будет видеть сертификат прокси, а результаты проверки
   сертификата сервера до него вообще не дойдут).  Через такой прокси
   вообще ничего не пролезет, кроме настоящего HTTP[S].

> И позволяет ли он делать обратный проброс из внешней сети во внутреннюю? 

Можно реализовать такой проброс средствами ssh (например,
RemoteForward со стороны клиента; при необходимости разрешить
GatewayPorts в настройках sshd).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 1303 bytes --]

Twas brillig at 14:35:22 09.02.2008 UTC+05 when kaf@nevod.ru did gyre and gimble:

 k> Универсален ни он - позволяет ли он проходит ЛЮБЫЕ прокси-сервера.

Любые прокси-сервера, разрешающие CONNECT. При этом стоит помнить, что
CONNECT обычно разрешается только на 443 порт.

Кстати, раз вы разбирались с corkscrew - не черкнёте ли пару строчек в
freesource.info?

А то про то, как пользоваться transconnect там есть
(http://www.freesource.info/wiki/ALTLinux/Sisyphus/admin/transconnect),
а про CONNECT-прокси, не требующие LD_PRELOAD - нет.

Предлагаю сюда:
http://www.freesource.info/wiki/ALTLinux/Sisyphus/admin/corkscrew

 k> И позволяет ли он делать обратный проброс из внешней сети во
 k> внутреннюю?

Инициатором соединения всё равно должна выступать машина "изнутри", но
проброс можно делать и в обратную сторону (см. ssh -R).

-- 
JID: dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[kaf]

On Sat, Feb 09, 2008 at 05:04:00PM +0600, Mikhail Gusarov wrote:
> Twas brillig at 14:35:22 09.02.2008 UTC+05 when kaf@nevod.ru did gyre and gimble:
> 
>  k> Универсален ни он - позволяет ли он проходит ЛЮБЫЕ прокси-сервера.
> 
> Любые прокси-сервера, разрешающие CONNECT. При этом стоит помнить, что
> CONNECT обычно разрешается только на 443 порт.
OK
Спасибо Вам и Сергею Власову за подробное разьяснение.
> 
> Кстати, раз вы разбирались с corkscrew - не черкнёте ли пару строчек в
> freesource.info?
Да нет - пока не разбирался - просто ищу варианты решения предстоящих
проблем
В общем варианты решения благодаря Вашим разьяснениям понятны.
Если в рамках данных работ будет необходимость использования данного
механизма с удовольствием отпишу метоты решения.
На настоящий момент мне нужен будет corkscrew в составе Server 4.0,
Desktop 4.0, Junior 4.0 - можно ли его как-то заполучить? 


> А то про то, как пользоваться transconnect там есть
> (http://www.freesource.info/wiki/ALTLinux/Sisyphus/admin/transconnect),
> а про CONNECT-прокси, не требующие LD_PRELOAD - нет.
Использовать transconnect с подменой libc как-то страшновато, но может
быть и так придется сделать
> 
> Предлагаю сюда:
> http://www.freesource.info/wiki/ALTLinux/Sisyphus/admin/corkscrew
> 
>  k> И позволяет ли он делать обратный проброс из внешней сети во
>  k> внутреннюю?
> 
> Инициатором соединения всё равно должна выступать машина "изнутри", но
> проброс можно делать и в обратную сторону (см. ssh -R).
Да конечно - речь идет о том, что при возникновении проблемы на школьном
компьютере от соединяется с помощью скрипта со службой поддержки 2-го
уровня и там открывается порт (для каждой школы желательно свой) через
который техническая поддержка сможет добраться и до школьного компьютера  

Ситуация в школах с подключением к сети непонятна и очень разнообразна -
надо быть готовым ко всему...


> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

-- 
С Уважением
Костарев А.Ф.

Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 716 bytes --]

Twas brillig at 17:28:07 09.02.2008 UTC+05 when kaf@nevod.ru did gyre and gimble:

 k> На настоящий момент мне нужен будет corkscrew в составе Server 4.0,
 k> Desktop 4.0, Junior 4.0 - можно ли его как-то заполучить?

Можно его получить в branch 4.0 - для этого заведите баг "перенести
corkscrew в branch" на продукт "перенос пакетов" в bugzilla.altlinux.org

Можно ещё спросить господина Русакова (ktirf@altlinux.org) на предмет
включения в следующие апдейты.

-- 
JID: dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]