* [Comm] Проброс ssh портов: не могу сообразить
@ 2009-09-10 10:54 Денис Черносов
2009-09-10 11:00 ` Damir
` (2 more replies)
0 siblings, 3 replies; 15+ messages in thread
From: Денис Черносов @ 2009-09-10 10:54 UTC (permalink / raw)
To: ALT Linux Community general discussions
День добрый.
есть локальная машина, с которой хочется запускать _графические_
программы с компьютеров удаленной локальной сети.
Пусть
локальная машина: local_wks,
шлюз удаленной сети: server (WAN_IP, LAN_IP) порты
(22001->remote_wks1, 22002->remote_wks2)
компьютеры за шлюзом: remote_wks1(WKS1_IP), remote_wks2 (WKS2_IP) и т.п.
Желательно открывать туннели по мере надобности командами на server-е
(постоянно висящих соединений не нужно).
Хотелось бы узнать, какие опции ssh и iptables нужно разрешить на соотв. компах.
Альт на всех машинах цепочки.
Курение манов и хаутушек не помогает. То ли нужно какую-то опцию
включить, то ли я вообще не догоняю...
Помогите пожалуйста, кто уж такое настраивал. На какой машине, в какой
последовательности какие команды отдавать?
--
С уважением,
Черносов Денис
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 10:54 [Comm] Проброс ssh портов: не могу сообразить Денис Черносов
@ 2009-09-10 11:00 ` Damir
2009-09-10 11:03 ` Dmitriy Kruglikov
2009-09-13 8:42 ` Alexey Borovskoy
2 siblings, 0 replies; 15+ messages in thread
From: Damir @ 2009-09-10 11:00 UTC (permalink / raw)
To: ALT Linux Community general discussions
> есть локальная машина, с которой хочется запускать _графические_
> программы с компьютеров удаленной локальной сети.
Не понял. Хочется программы запускать или порты пробрасывать?
Программы можно запускать через
ssh -Y -p 22001 WAN_IP <имя программы1>
и
ssh -Y -p 22002 WAN_IP <имя программы2>
соответственно.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 10:54 [Comm] Проброс ssh портов: не могу сообразить Денис Черносов
2009-09-10 11:00 ` Damir
@ 2009-09-10 11:03 ` Dmitriy Kruglikov
2009-09-10 11:36 ` Денис Черносов
2009-09-13 8:42 ` Alexey Borovskoy
2 siblings, 1 reply; 15+ messages in thread
From: Dmitriy Kruglikov @ 2009-09-10 11:03 UTC (permalink / raw)
To: ALT Linux Community general discussions
10 сентября 2009 г. 13:54 пользователь Денис Черносов написал:
>
> Курение манов и хаутушек не помогает.
Смените поставщика травы ...
Все просто, как угол дома ...
Пример.
На удаленном сервере крутится LDAP, который доступен исключительно по
адресу 127.0.0.1
Мне нужно там пошаманить...
У меня на ноуте то же есть LDAP, и его адрес занят...
Кроме того, обычному пользователю порты ниже 1024 трогать не позволено ...
Я делаю:
ssh -L 9389:127.0.0.1:389 user@host
и у себя на порту 9389 получаю "его" 389...
Пользуюсь ...
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 11:03 ` Dmitriy Kruglikov
@ 2009-09-10 11:36 ` Денис Черносов
2009-09-10 11:49 ` Andrew Clark
` (2 more replies)
0 siblings, 3 replies; 15+ messages in thread
From: Денис Черносов @ 2009-09-10 11:36 UTC (permalink / raw)
To: ALT Linux Community general discussions
Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
моей машины.
А хочется одним шагом на любую рабочую станцию попадать.
сейчас:
[local_user@local_wks]#ssh user@server
[user@server]#ssh user1@remote_wks1
[user1@remote_wks1]# firefox
...ничего не видим.
а хочется:
[local_user@local_wks]# ssh user1@server -p 22001 -X
[user1@remote_wks1]# firefox
... видим firefox
Что-то мне подсказывает, что можно одним iptables обойтись, но какую
команду использовать, чтобы преобразовать:
server:22001 -> remote_wks1:22
опять же, никак не подберу. То ли DNAT, то ли REDIRECT...
10 сентября 2009 г. 16:03 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> 10 сентября 2009 г. 13:54 пользователь Денис Черносов написал:
>>
>> Курение манов и хаутушек не помогает.
> Смените поставщика травы ...
> Все просто, как угол дома ...
> Пример.
> На удаленном сервере крутится LDAP, который доступен исключительно по
> адресу 127.0.0.1
> Мне нужно там пошаманить...
> У меня на ноуте то же есть LDAP, и его адрес занят...
> Кроме того, обычному пользователю порты ниже 1024 трогать не позволено ...
> Я делаю:
> ssh -L 9389:127.0.0.1:389 user@host
> и у себя на порту 9389 получаю "его" 389...
> Пользуюсь ...
>
>
> --
> Как правильно задавать вопросы:
> http://maddog.sitengine.ru/smart-question-ru.html
>
> Помогает:
> http://search.altlinux.org
>
> Best regards,
> Dmitriy Kruglikov
> Dmitriy.Kruglikov_at_gmail_dot_com
> XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
--
С уважением,
Черносов Денис
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 11:36 ` Денис Черносов
@ 2009-09-10 11:49 ` Andrew Clark
2009-09-10 12:08 ` Денис Черносов
2009-09-12 17:25 ` Michael Shigorin
2009-09-16 12:50 ` Gleb Kulikov
2 siblings, 1 reply; 15+ messages in thread
From: Andrew Clark @ 2009-09-10 11:49 UTC (permalink / raw)
To: ALT Linux Community general discussions
On 10.09.2009 15:36, Денис Черносов wrote:
> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
> рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
> моей машины.
>
> А хочется одним шагом на любую рабочую станцию попадать.
>
> сейчас:
> [local_user@local_wks]#ssh user@server
> [user@server]#ssh user1@remote_wks1
> [user1@remote_wks1]# firefox
> ...ничего не видим.
>
> а хочется:
> [local_user@local_wks]# ssh user1@server -p 22001 -X
> [user1@remote_wks1]# firefox
> ... видим firefox
>
Может так:
ssh -XYvfN имя@нашлюзе.ru -L 192.168.1.2:33:172.XX.XX.XX:3389
тут на локальную машину (ту за которой вы работаете, будут пробрасываться
порты с той машины, которую вы хотите. В данном случае законнектившись
на свою машину rdesktop -k en-us 192.168.1.2:33 я попаду на контроллер
домена.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 11:49 ` Andrew Clark
@ 2009-09-10 12:08 ` Денис Черносов
0 siblings, 0 replies; 15+ messages in thread
From: Денис Черносов @ 2009-09-10 12:08 UTC (permalink / raw)
To: ALT Linux Community general discussions
10 сентября 2009 г. 16:49 пользователь Andrew Clark
<andrewclarkiii@gmail.com> написал:
> On 10.09.2009 15:36, Денис Черносов wrote:
>> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
>> рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
>> моей машины.
>>
>> А хочется одним шагом на любую рабочую станцию попадать.
>>
>> сейчас:
>> [local_user@local_wks]#ssh user@server
>> [user@server]#ssh user1@remote_wks1
>> [user1@remote_wks1]# firefox
>> ...ничего не видим.
>>
>> а хочется:
>> [local_user@local_wks]# ssh user1@server -p 22001 -X
>> [user1@remote_wks1]# firefox
>> ... видим firefox
>>
> Может так:
> ssh -XYvfN имя@нашлюзе.ru -L 192.168.1.2:33:172.XX.XX.XX:3389
> тут на локальную машину (ту за которой вы работаете, будут пробрасываться
> порты с той машины, которую вы хотите. В данном случае законнектившись
> на свою машину rdesktop -k en-us 192.168.1.2:33 я попаду на контроллер
> домена.
Надо попробовать.
Но пока всё решилось... статичнее. На шлюзе прописываем в nat-PREROUTING
-p tcp -m tcp -d $WAN_IP --dport 22001 -j DNAT --to-destination $WKS1_IP:22
-p tcp -m tcp -d $WAN_IP --dport 22002 -j DNAT --to-destination $WKS2_IP:22
...
в filter-FORWARD
-p tcp -m tcp -s $WAN_IP --dport 22 -j ACCEPT
и можно работать... если смириться с тормозами... Возможно, наладить
там какой-нибудь NX-клиент или rdp будет повеселее, чем запускать
отдельные приложения...
--
С уважением,
Черносов Денис
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 11:36 ` Денис Черносов
2009-09-10 11:49 ` Andrew Clark
@ 2009-09-12 17:25 ` Michael Shigorin
2009-09-13 19:04 ` Денис Черносов
2009-09-16 12:50 ` Gleb Kulikov
2 siblings, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2009-09-12 17:25 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Thu, Sep 10, 2009 at 04:36:03PM +0500, Денис Черносов wrote:
> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на
> любую рабочую станцию через вложенный ssh. Но так иксы не
> пробрасываются до моей машины. А хочется одним шагом на любую
> рабочую станцию попадать.
Сейчас не настолько свежая голова, чтоб въезжать, но обратите
также внимание на bind_address для -L/-R в ssh(1) и далее на
GatewayPorts в sshd_config(5). При схожем вопросе помогло.
Ну и host там необязательно 127.0.0.1.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 10:54 [Comm] Проброс ssh портов: не могу сообразить Денис Черносов
2009-09-10 11:00 ` Damir
2009-09-10 11:03 ` Dmitriy Kruglikov
@ 2009-09-13 8:42 ` Alexey Borovskoy
2009-09-13 18:51 ` Денис Черносов
2 siblings, 1 reply; 15+ messages in thread
From: Alexey Borovskoy @ 2009-09-13 8:42 UTC (permalink / raw)
To: ALT Linux Community general discussions
* Четверг 10 сентября 2009 Денис Черносов
> День добрый.
>
> есть локальная машина, с которой хочется запускать
> _графические_ программы с компьютеров удаленной локальной
> сети.
Может проще поднять туннель openvpn или ipsec?
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-13 8:42 ` Alexey Borovskoy
@ 2009-09-13 18:51 ` Денис Черносов
2009-09-15 12:10 ` Michael Shigorin
2009-09-16 12:48 ` Gleb Kulikov
0 siblings, 2 replies; 15+ messages in thread
From: Денис Черносов @ 2009-09-13 18:51 UTC (permalink / raw)
To: ALT Linux Community general discussions
13 сентября 2009 г. 13:42 пользователь Alexey Borovskoy
<alexey.borovskoy@gmail.com> написал:
> * Четверг 10 сентября 2009 Денис Черносов
>
>> День добрый.
>>
>> есть локальная машина, с которой хочется запускать
>> _графические_ программы с компьютеров удаленной локальной
>> сети.
>
> Может проще поднять туннель openvpn или ipsec?
Год-два назад загорелся протягиванием туннеля и что-то запутался в
технологиях. Одно не поддерживается в альте, другое в ядре, третье
очень перспективное, но еще не допиленное... честно говоря уже
подзабылись подробности, но помню, что одним из препятствий было то,
что на одном конце стоял альт, а на другом асп... Сейчас гармония
восстановлена - везде альт, так что как только закончу с более
срочными неадминскими делами, буду погружаться в тему... Тем более,
что с etcnet на обоих концах - это должно быть особенно легко и
приятно... я так надеюсь :)
--
С уважением,
Черносов Денис
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-12 17:25 ` Michael Shigorin
@ 2009-09-13 19:04 ` Денис Черносов
0 siblings, 0 replies; 15+ messages in thread
From: Денис Черносов @ 2009-09-13 19:04 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
12 сентября 2009 г. 22:25 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Thu, Sep 10, 2009 at 04:36:03PM +0500, Денис Черносов wrote:
>> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на
>> любую рабочую станцию через вложенный ssh. Но так иксы не
>> пробрасываются до моей машины. А хочется одним шагом на любую
>> рабочую станцию попадать.
>
> Сейчас не настолько свежая голова, чтоб въезжать, но обратите
> также внимание на bind_address для -L/-R в ssh(1) и далее на
> GatewayPorts в sshd_config(5). При схожем вопросе помогло.
>
> Ну и host там необязательно 127.0.0.1.
Я собственно с того и начал, что на отвлеченных примерах никак понять
не могу. Бывает, что какая-то тема никак не укладывается в голове. Вот
я и попросил уважаемого anybody подставить в уравнение мои
переменные... Но, как я уже сказал, на сегодня создан привычный (для
моего мозга) объезд, так что вопрос (для меня на данный момент)
перешел в академическую плоскость.
--
С уважением,
Черносов Денис
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-13 18:51 ` Денис Черносов
@ 2009-09-15 12:10 ` Michael Shigorin
2009-09-15 17:39 ` Денис Черносов
2009-09-16 12:48 ` Gleb Kulikov
1 sibling, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2009-09-15 12:10 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Sun, Sep 13, 2009 at 11:51:46PM +0500, Денис Черносов wrote:
> > Может проще поднять туннель openvpn или ipsec?
> Год-два назад загорелся протягиванием туннеля и что-то
> запутался в технологиях. Одно не поддерживается в альте, другое
> в ядре, третье очень перспективное, но еще не допиленное...
openvpn работает.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-15 12:10 ` Michael Shigorin
@ 2009-09-15 17:39 ` Денис Черносов
0 siblings, 0 replies; 15+ messages in thread
From: Денис Черносов @ 2009-09-15 17:39 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
15 сентября 2009 г. 17:10 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Sun, Sep 13, 2009 at 11:51:46PM +0500, Денис Черносов wrote:
>> > Может проще поднять туннель openvpn или ipsec?
>> Год-два назад загорелся протягиванием туннеля и что-то
>> запутался в технологиях. Одно не поддерживается в альте, другое
>> в ядре, третье очень перспективное, но еще не допиленное...
>
> openvpn работает.
Спасибо, добавил в мемориз :)
--
С уважением,
Черносов Денис
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-13 18:51 ` Денис Черносов
2009-09-15 12:10 ` Michael Shigorin
@ 2009-09-16 12:48 ` Gleb Kulikov
1 sibling, 0 replies; 15+ messages in thread
From: Gleb Kulikov @ 2009-09-16 12:48 UTC (permalink / raw)
To: ALT Linux Community general discussions
В сообщении от [Понедельник 14 сентября 2009 Денис Черносов] написал:
> > Может проще поднять туннель openvpn или ipsec?
>
> Год-два назад загорелся протягиванием туннеля и что-то запутался в
> технологиях. Одно не поддерживается в альте, другое в ядре, третье
Использую везде vtund и очень доволен. Настроек - на 5 минут.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
sip://20000204@sip.pctel.ru (telephony)
netmail: 2:5005/78
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-10 11:36 ` Денис Черносов
2009-09-10 11:49 ` Andrew Clark
2009-09-12 17:25 ` Michael Shigorin
@ 2009-09-16 12:50 ` Gleb Kulikov
2009-09-16 12:51 ` Max Ivanov
2 siblings, 1 reply; 15+ messages in thread
From: Gleb Kulikov @ 2009-09-16 12:50 UTC (permalink / raw)
To: ALT Linux Community general discussions
В сообщении от [Четверг 10 сентября 2009 Денис Черносов] написал:
> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
> рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
> моей машины.
Как это?
ssh -C -Y ssh -C -Y и не пробрасывает иксы? Не верю.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
sip://20000204@sip.pctel.ru (telephony)
netmail: 2:5005/78
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Проброс ssh портов: не могу сообразить
2009-09-16 12:50 ` Gleb Kulikov
@ 2009-09-16 12:51 ` Max Ivanov
0 siblings, 0 replies; 15+ messages in thread
From: Max Ivanov @ 2009-09-16 12:51 UTC (permalink / raw)
To: ALT Linux Community general discussions
> Как это?
> ssh -C -Y ssh -C -Y и не пробрасывает иксы? Не верю.
Не пробросят, если нет xauth
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2009-09-16 12:51 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-09-10 10:54 [Comm] Проброс ssh портов: не могу сообразить Денис Черносов
2009-09-10 11:00 ` Damir
2009-09-10 11:03 ` Dmitriy Kruglikov
2009-09-10 11:36 ` Денис Черносов
2009-09-10 11:49 ` Andrew Clark
2009-09-10 12:08 ` Денис Черносов
2009-09-12 17:25 ` Michael Shigorin
2009-09-13 19:04 ` Денис Черносов
2009-09-16 12:50 ` Gleb Kulikov
2009-09-16 12:51 ` Max Ivanov
2009-09-13 8:42 ` Alexey Borovskoy
2009-09-13 18:51 ` Денис Черносов
2009-09-15 12:10 ` Michael Shigorin
2009-09-15 17:39 ` Денис Черносов
2009-09-16 12:48 ` Gleb Kulikov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git