[Comm] Проброс ssh портов: не могу сообразить

[Comm] Проброс ssh портов: не могу сообразить

[Денис Черносов]

День добрый.

есть локальная машина, с которой хочется запускать _графические_
программы с компьютеров удаленной локальной сети.
Пусть
локальная машина: local_wks,
шлюз удаленной сети: server (WAN_IP, LAN_IP) порты
(22001->remote_wks1, 22002->remote_wks2)
компьютеры за шлюзом: remote_wks1(WKS1_IP), remote_wks2 (WKS2_IP) и т.п.

Желательно открывать туннели по мере надобности командами на server-е
(постоянно висящих соединений не нужно).

Хотелось бы узнать, какие опции ssh и iptables нужно разрешить на соотв. компах.

Альт на всех машинах цепочки.

Курение манов и хаутушек не помогает. То ли нужно какую-то опцию
включить, то ли я вообще не догоняю...

Помогите пожалуйста, кто уж такое настраивал. На какой машине, в какой
последовательности какие команды отдавать?

-- 
С уважением,
Черносов Денис

Re: [Comm] Проброс ssh портов: не могу сообразить

[Damir]

> есть локальная машина, с которой хочется запускать _графические_
> программы с компьютеров удаленной локальной сети.
Не понял. Хочется программы запускать или порты пробрасывать?

Программы можно запускать через

ssh -Y -p 22001 WAN_IP <имя программы1>
и
ssh -Y -p 22002 WAN_IP <имя программы2>

соответственно.

Re: [Comm] Проброс ssh портов: не могу сообразить

[Dmitriy Kruglikov]

10 сентября 2009 г. 13:54 пользователь Денис Черносов  написал:
>
> Курение манов и хаутушек не помогает.
Смените поставщика травы ...
Все просто, как угол дома ...
Пример.
На удаленном сервере крутится LDAP, который доступен исключительно по
адресу 127.0.0.1
Мне нужно там пошаманить...
У меня на ноуте то же есть LDAP, и его адрес занят...
Кроме того, обычному пользователю порты ниже 1024 трогать не позволено ...
Я делаю:
ssh -L 9389:127.0.0.1:389 user@host
и у себя на порту 9389 получаю "его" 389...
Пользуюсь ...


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] Проброс ssh портов: не могу сообразить

[Денис Черносов]

Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
моей машины.

А хочется одним шагом на любую рабочую станцию попадать.

сейчас:
[local_user@local_wks]#ssh user@server
[user@server]#ssh user1@remote_wks1
[user1@remote_wks1]# firefox
...ничего не видим.

а хочется:
[local_user@local_wks]# ssh user1@server -p 22001 -X
[user1@remote_wks1]# firefox
... видим firefox

Что-то мне подсказывает, что можно одним iptables обойтись, но какую
команду использовать, чтобы преобразовать:
server:22001 -> remote_wks1:22
опять же, никак не подберу. То ли DNAT, то ли REDIRECT...


10 сентября 2009 г. 16:03 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> 10 сентября 2009 г. 13:54 пользователь Денис Черносов  написал:
>>
>> Курение манов и хаутушек не помогает.
> Смените поставщика травы ...
> Все просто, как угол дома ...
> Пример.
> На удаленном сервере крутится LDAP, который доступен исключительно по
> адресу 127.0.0.1
> Мне нужно там пошаманить...
> У меня на ноуте то же есть LDAP, и его адрес занят...
> Кроме того, обычному пользователю порты ниже 1024 трогать не позволено ...
> Я делаю:
> ssh -L 9389:127.0.0.1:389 user@host
> и у себя на порту 9389 получаю "его" 389...
> Пользуюсь ...
>
>
> --
> Как правильно задавать вопросы:
> http://maddog.sitengine.ru/smart-question-ru.html
>
> Помогает:
> http://search.altlinux.org
>
> Best regards,
>  Dmitriy Kruglikov
>  Dmitriy.Kruglikov_at_gmail_dot_com
>  XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community



-- 
С уважением,
Черносов Денис

Re: [Comm] Проброс ssh портов: не могу сообразить

[Andrew Clark]

On 10.09.2009 15:36, Денис Черносов wrote:
> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
> рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
> моей машины.
>
> А хочется одним шагом на любую рабочую станцию попадать.
>
> сейчас:
> [local_user@local_wks]#ssh user@server
> [user@server]#ssh user1@remote_wks1
> [user1@remote_wks1]# firefox
> ...ничего не видим.
>
> а хочется:
> [local_user@local_wks]# ssh user1@server -p 22001 -X
> [user1@remote_wks1]# firefox
> ... видим firefox
>   
Может так:
ssh -XYvfN имя@нашлюзе.ru -L 192.168.1.2:33:172.XX.XX.XX:3389
тут на локальную машину (ту за которой вы работаете, будут пробрасываться
порты с той машины, которую вы хотите. В данном случае законнектившись
на свою машину rdesktop -k en-us 192.168.1.2:33 я попаду на контроллер
домена.

Re: [Comm] Проброс ssh портов: не могу сообразить

[Денис Черносов]

10 сентября 2009 г. 16:49 пользователь Andrew Clark
<andrewclarkiii@gmail.com> написал:
> On 10.09.2009 15:36, Денис Черносов wrote:
>> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
>> рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
>> моей машины.
>>
>> А хочется одним шагом на любую рабочую станцию попадать.
>>
>> сейчас:
>> [local_user@local_wks]#ssh user@server
>> [user@server]#ssh user1@remote_wks1
>> [user1@remote_wks1]# firefox
>> ...ничего не видим.
>>
>> а хочется:
>> [local_user@local_wks]# ssh user1@server -p 22001 -X
>> [user1@remote_wks1]# firefox
>> ... видим firefox
>>
> Может так:
> ssh -XYvfN имя@нашлюзе.ru -L 192.168.1.2:33:172.XX.XX.XX:3389
> тут на локальную машину (ту за которой вы работаете, будут пробрасываться
> порты с той машины, которую вы хотите. В данном случае законнектившись
> на свою машину rdesktop -k en-us 192.168.1.2:33 я попаду на контроллер
> домена.

Надо попробовать.

Но пока всё решилось... статичнее. На шлюзе прописываем в nat-PREROUTING

-p tcp -m tcp -d $WAN_IP --dport 22001 -j DNAT --to-destination $WKS1_IP:22
-p tcp -m tcp -d $WAN_IP --dport 22002 -j DNAT --to-destination $WKS2_IP:22
...

в filter-FORWARD
-p tcp -m tcp -s $WAN_IP --dport 22 -j ACCEPT

и можно работать... если смириться с тормозами... Возможно, наладить
там какой-нибудь NX-клиент или rdp будет повеселее, чем запускать
отдельные приложения...

-- 
С уважением,
Черносов Денис

Re: [Comm] Проброс ssh портов: не могу сообразить

[Michael Shigorin]

On Thu, Sep 10, 2009 at 04:36:03PM +0500, Денис Черносов wrote:
> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на
> любую рабочую станцию через вложенный ssh. Но так иксы не
> пробрасываются до моей машины.  А хочется одним шагом на любую
> рабочую станцию попадать.

Сейчас не настолько свежая голова, чтоб въезжать, но обратите
также внимание на bind_address для -L/-R в ssh(1) и далее на
GatewayPorts в sshd_config(5).  При схожем вопросе помогло.

Ну и host там необязательно 127.0.0.1.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Проброс ssh портов: не могу сообразить

[Alexey Borovskoy]

* Четверг 10 сентября 2009 Денис Черносов

> День добрый.
> 
> есть локальная машина, с которой хочется запускать
>  _графические_ программы с компьютеров удаленной локальной
>  сети.

Может проще поднять туннель openvpn или ipsec?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

Re: [Comm] Проброс ssh портов: не могу сообразить

[Денис Черносов]

13 сентября 2009 г. 13:42 пользователь Alexey Borovskoy
<alexey.borovskoy@gmail.com> написал:
> * Четверг 10 сентября 2009 Денис Черносов
>
>> День добрый.
>>
>> есть локальная машина, с которой хочется запускать
>>  _графические_ программы с компьютеров удаленной локальной
>>  сети.
>
> Может проще поднять туннель openvpn или ipsec?

Год-два назад загорелся протягиванием туннеля и что-то запутался в
технологиях. Одно не поддерживается в альте, другое в ядре, третье
очень перспективное, но еще не допиленное... честно говоря уже
подзабылись подробности, но помню, что одним из препятствий было то,
что на одном конце стоял альт, а на другом асп... Сейчас гармония
восстановлена - везде альт, так что как только закончу с более
срочными неадминскими делами, буду погружаться в тему... Тем более,
что с etcnet  на обоих концах - это должно быть особенно легко и
приятно... я так надеюсь :)

-- 
С уважением,
Черносов Денис

Re: [Comm] Проброс ssh портов: не могу сообразить

[Денис Черносов]

12 сентября 2009 г. 22:25 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Thu, Sep 10, 2009 at 04:36:03PM +0500, Денис Черносов wrote:
>> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на
>> любую рабочую станцию через вложенный ssh. Но так иксы не
>> пробрасываются до моей машины.  А хочется одним шагом на любую
>> рабочую станцию попадать.
>
> Сейчас не настолько свежая голова, чтоб въезжать, но обратите
> также внимание на bind_address для -L/-R в ssh(1) и далее на
> GatewayPorts в sshd_config(5).  При схожем вопросе помогло.
>
> Ну и host там необязательно 127.0.0.1.

Я собственно с того и начал, что на отвлеченных примерах никак понять
не могу. Бывает, что какая-то тема никак не укладывается в голове. Вот
я и попросил уважаемого anybody подставить в уравнение мои
переменные... Но, как я уже сказал, на сегодня создан привычный (для
моего мозга) объезд, так что вопрос (для меня на данный момент)
перешел в академическую плоскость.

-- 
С уважением,
Черносов Денис

Re: [Comm] Проброс ssh портов: не могу сообразить

[Michael Shigorin]

On Sun, Sep 13, 2009 at 11:51:46PM +0500, Денис Черносов wrote:
> > Может проще поднять туннель openvpn или ipsec?
> Год-два назад загорелся протягиванием туннеля и что-то
> запутался в технологиях. Одно не поддерживается в альте, другое
> в ядре, третье очень перспективное, но еще не допиленное...

openvpn работает.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Проброс ssh портов: не могу сообразить

[Денис Черносов]

15 сентября 2009 г. 17:10 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Sun, Sep 13, 2009 at 11:51:46PM +0500, Денис Черносов wrote:
>> > Может проще поднять туннель openvpn или ipsec?
>> Год-два назад загорелся протягиванием туннеля и что-то
>> запутался в технологиях. Одно не поддерживается в альте, другое
>> в ядре, третье очень перспективное, но еще не допиленное...
>
> openvpn работает.

Спасибо, добавил в мемориз :)



-- 
С уважением,
Черносов Денис

Re: [Comm] Проброс ssh портов: не могу сообразить

[Gleb Kulikov]

В сообщении от [Понедельник 14 сентября 2009 Денис Черносов] написал:

> > Может проще поднять туннель openvpn или ipsec?
>
> Год-два назад загорелся протягиванием туннеля и что-то запутался в
> технологиях. Одно не поддерживается в альте, другое в ядре, третье

Использую везде vtund и очень доволен. Настроек - на 5 минут.



-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)
sip://20000204@sip.pctel.ru		(telephony)
netmail: 2:5005/78

Re: [Comm] Проброс ssh портов: не могу сообразить

[Gleb Kulikov]

В сообщении от [Четверг 10 сентября 2009 Денис Черносов] написал:

> Дык, мне не на шлюз надо, я туда и так попадаю. И с шлюза на любую
> рабочую станцию через вложенный ssh. Но так иксы не пробрасываются до
> моей машины.

Как это?
ssh -C -Y  ssh -C -Y и не пробрасывает иксы? Не верю.

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)
sip://20000204@sip.pctel.ru		(telephony)
netmail: 2:5005/78

Re: [Comm] Проброс ssh портов: не могу сообразить

[Max Ivanov]

> Как это?
> ssh -C -Y  ssh -C -Y и не пробрасывает иксы? Не верю.
Не пробросят, если нет xauth