ALT Linux Community general discussions
 help / color / mirror / Atom feed
From: Sergey Vlasov <vsu@altlinux.ru>
To: community@lists.altlinux.org
Subject: Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew
Date: Sat, 9 Feb 2008 13:56:24 +0300
Message-ID: <20080209105624.GA4877@atlas.home> (raw)
In-Reply-To: <20080209093522.GB13646@nevod.ru>

[-- Attachment #1: Type: text/plain, Size: 2867 bytes --]

On Sat, Feb 09, 2008 at 02:35:22PM +0500, kaf@nevod.ru wrote:
> Но если с компьютера в школе имеется только одна дырка в Inet через
> HTTP-прокси-сервер.
> Как я понял в этом случае я могу возпользоваться тем же механизмом, но
> прописав в качестве транспорта в настройках ssh программу corkscrew.

Возможный вариант (другой способ - применение transconnect; эта
программа через LD_PRELOAD подменяет функции libc, работающие с
сокетами, на свои реализации, работающие через метод CONNECT).

> Она используя метод CONNECT proxy-сервера может обеспечить доступ с
> компьютера в локальной сети proxy-сервера о протоколу ssh на внешний
> компьютер.
> Одна из проблем там описана - возможно малый TTL на CONNECT, но по-моему
> эта проблема решаема...

Для ssh можно использовать опцию ServerAliveInterval в ~/.ssh/config,
чтобы обеспечить поддержание соединения.

> Вопроса собственно два - работал ли кто с данным механизмом (corkscrew
> судя по всему активно портируется в рамках sisyphus). Универсален ни он
> - позволяет ли он проходит ЛЮБЫЕ прокси-сервера.

Проблем с использованием метода CONNECT несколько:

1. Список портов, с которыми можно устанавливать соединения, как
   правило, ограничен (например, в стандартных настройках squid
   соединения с портом 22, используемым sshd, запрещены).  Нужно либо
   договариваться с администратором прокси об открытии нужных портов,
   либо (при отсутствии возможности повлиять на настройки прокси)
   вешать sshd на один из разрешённых портов (например, на порт 443 -
   https, для которого в первую очередь и предназначался метод
   CONNECT).

2. Прокси может проверить, что соединение, установленное через метод
   CONNECT, действительно использует протокол SSL/TLS (хотя сами
   данные защищены средствами TLS, можно проверить наличие заголовков
   TLS, процесс согласования протоколов шифрования, ...); в этом
   случае проброс других протоколов (например, SSH) работать не будет.
   Правда, squid таких проверок не делает.  В случае, если попался
   такой прокси, придётся ставить на наружный сервер stunnel, чтобы
   прокси видел протокол SSL, используемый stunnel.

3. Вроде бы существуют даже такие прокси, которые при использовании
   TLS выполняют "атаку man-in-the-middle", чтобы добраться до
   зашифрованных данных (например, с целью проверки на вирусы).
   Конечно, подобное безобразие видимо для клиента (вместо сертификата
   сервера он будет видеть сертификат прокси, а результаты проверки
   сертификата сервера до него вообще не дойдут).  Через такой прокси
   вообще ничего не пролезет, кроме настоящего HTTP[S].

> И позволяет ли он делать обратный проброс из внешней сети во внутреннюю? 

Можно реализовать такой проброс средствами ssh (например,
RemoteForward со стороны клиента; при необходимости разрешить
GatewayPorts в настройках sshd).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

  reply	other threads:[~2008-02-09 10:56 UTC|newest]

Thread overview: 8+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2008-02-08 13:21 Kostarev Alexey
2008-02-08 14:16 ` Motsyo Gennadi aka Drool
2008-02-09  9:35   ` kaf
2008-02-09 10:56     ` Sergey Vlasov [this message]
2008-02-09 11:04     ` Mikhail Gusarov
2008-02-09 12:28       ` kaf
2008-02-09 12:33         ` Mikhail Gusarov
2008-02-08 15:58 ` George V. Kouryachy

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20080209105624.GA4877@atlas.home \
    --to=vsu@altlinux.ru \
    --cc=community@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git