From: Sergey Vlasov <vsu@altlinux.ru> To: community@lists.altlinux.org Subject: Re: [Comm] Работа по протоколу ssh через proxy-сервер, corkscrew Date: Sat, 9 Feb 2008 13:56:24 +0300 Message-ID: <20080209105624.GA4877@atlas.home> (raw) In-Reply-To: <20080209093522.GB13646@nevod.ru> [-- Attachment #1: Type: text/plain, Size: 2867 bytes --] On Sat, Feb 09, 2008 at 02:35:22PM +0500, kaf@nevod.ru wrote: > Но если с компьютера в школе имеется только одна дырка в Inet через > HTTP-прокси-сервер. > Как я понял в этом случае я могу возпользоваться тем же механизмом, но > прописав в качестве транспорта в настройках ssh программу corkscrew. Возможный вариант (другой способ - применение transconnect; эта программа через LD_PRELOAD подменяет функции libc, работающие с сокетами, на свои реализации, работающие через метод CONNECT). > Она используя метод CONNECT proxy-сервера может обеспечить доступ с > компьютера в локальной сети proxy-сервера о протоколу ssh на внешний > компьютер. > Одна из проблем там описана - возможно малый TTL на CONNECT, но по-моему > эта проблема решаема... Для ssh можно использовать опцию ServerAliveInterval в ~/.ssh/config, чтобы обеспечить поддержание соединения. > Вопроса собственно два - работал ли кто с данным механизмом (corkscrew > судя по всему активно портируется в рамках sisyphus). Универсален ни он > - позволяет ли он проходит ЛЮБЫЕ прокси-сервера. Проблем с использованием метода CONNECT несколько: 1. Список портов, с которыми можно устанавливать соединения, как правило, ограничен (например, в стандартных настройках squid соединения с портом 22, используемым sshd, запрещены). Нужно либо договариваться с администратором прокси об открытии нужных портов, либо (при отсутствии возможности повлиять на настройки прокси) вешать sshd на один из разрешённых портов (например, на порт 443 - https, для которого в первую очередь и предназначался метод CONNECT). 2. Прокси может проверить, что соединение, установленное через метод CONNECT, действительно использует протокол SSL/TLS (хотя сами данные защищены средствами TLS, можно проверить наличие заголовков TLS, процесс согласования протоколов шифрования, ...); в этом случае проброс других протоколов (например, SSH) работать не будет. Правда, squid таких проверок не делает. В случае, если попался такой прокси, придётся ставить на наружный сервер stunnel, чтобы прокси видел протокол SSL, используемый stunnel. 3. Вроде бы существуют даже такие прокси, которые при использовании TLS выполняют "атаку man-in-the-middle", чтобы добраться до зашифрованных данных (например, с целью проверки на вирусы). Конечно, подобное безобразие видимо для клиента (вместо сертификата сервера он будет видеть сертификат прокси, а результаты проверки сертификата сервера до него вообще не дойдут). Через такой прокси вообще ничего не пролезет, кроме настоящего HTTP[S]. > И позволяет ли он делать обратный проброс из внешней сети во внутреннюю? Можно реализовать такой проброс средствами ssh (например, RemoteForward со стороны клиента; при необходимости разрешить GatewayPorts в настройках sshd). [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
next prev parent reply other threads:[~2008-02-09 10:56 UTC|newest] Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-02-08 13:21 Kostarev Alexey 2008-02-08 14:16 ` Motsyo Gennadi aka Drool 2008-02-09 9:35 ` kaf 2008-02-09 10:56 ` Sergey Vlasov [this message] 2008-02-09 11:04 ` Mikhail Gusarov 2008-02-09 12:28 ` kaf 2008-02-09 12:33 ` Mikhail Gusarov 2008-02-08 15:58 ` George V. Kouryachy
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20080209105624.GA4877@atlas.home \ --to=vsu@altlinux.ru \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git