specify - ssh tunnel https




Il firewall client blocca tutte le porte tranne 80 e 443, รจ necessario spostare i requet sulla porta 443 su SSH o HTTPS (4)

Attualmente sto lavorando presso un cliente dove hanno bloccato la rete, tranne che per le porte 80 e 443. Devo connettermi al nostro server usando SSH, ma lo stesso server gestisce anche il nostro sito web. Non vogliamo investire in un nuovo server o inserire una seconda scheda di rete.

Ho cercato internet per installare il nostro server linux (con CentOS 5 in esecuzione), in modo che ci sia un daemon in ascolto sulla porta 443 che a seconda del protocollo client inoltra la richiesta alla porta interna corretta (SSH 22 o HTTPS spostati a un differentport_.

Ci sono molte persone su Internet che cercano questa soluzione gentile, ma non ci sono istruzioni chiare su come farlo.

Qualcuno ha idee / istruzioni chiare su come fare questo?

Saluti, nidkil


sslh: http://www.rutschle.net/tech/sslh.shtml

Sto usando 1.5; Non ho ancora provato l'1.6b, e 1.3 ha un problema nel lasciare gli zombi in giro.

Eseguilo sulla porta 443; se nessun dato viene inviato con 2 secondi (il valore predefinito), inoltra a ssh. In caso contrario, inoltra al tuo server web.

Lo sto eseguendo sul mio sito web ( http://mikeage.net ): puoi collegarti a Internet se vuoi vedere entrambi i banner di accesso.

Nel mio caso, ha anche un altro scopo. Abbiamo una configurazione ancora più restrittiva di te: tutte le porte sono bloccate, ma 80 e 443 possono essere raggiunte tramite proxy. Posso fare in modo che SSH usi un programma come cavatappi (o stucco in modo nativo) per proxy la mia connessione SSH tramite il proxy aziendale al mio server: 443, dove dopo un breve ritardo, il mio server SSH risponde con il suo banner di accesso. Posso anche pubblicare pagine Web su HTTPS standard (e farlo, in effetti).


È possibile creare una piccola applicazione Web in ascolto sulla porta 443 che abilita una shell SSH inversa verso l'IP della connessione in entrata, utilizzando l'autenticazione a chiave pubblica. Dire:

  • Autenticati sull'applicazione Web; l'applicazione Web recupera il tuo IP
  • L'applicazione avvia un tunnel SSH dal suo IP al tuo IP (alla porta 22)
  • Il server SSH sulla tua macchina termina il tunnel e ascolta localhost: 8080
  • Quindi, si avvia una sessione SSH con localhost: 8080. I comandi nella seguente sessione interattiva vengono reindirizzati all'host remoto.

Le restrizioni del firewall sono valide per un motivo. Possono non essere buoni, ma hanno senso per la persona che l'ha implementata o che ha causato l'implementazione. Non tenterei di violare la politica aziendale sulle connessioni esterne.

Se il tuo bisogno è legittimo, chiederei che la porta, o un supplente, siano aperti agli indirizzi richiesti. Se ciò non funziona, forse una soluzione VPN sarebbe accettabile.

Nel caso in cui la gente della rete sia semplicemente follemente protettiva, riluttante a rispondere alla ragione, o semplicemente incompetente, vorrei assicurarmi di avere l'approvazione da un manager che è disposto a fare il pipistrello per me QUANDO diventa un problema prima ho implementato un work-around. Qualsiasi altra cosa potrebbe ragionevolmente finire con la cessazione del rapporto di lavoro. Dopotutto, stai parlando di violare una politica di sicurezza aziendale.


Una soluzione facile al tuo problema potrebbe essere quella di assegnare più indirizzi IP alla tua casella e associare il tuo SSH alla porta 443 su un IP separato; in genere è possibile assegnare più indirizzi IP a un singolo adattatore , senza necessità di aggiungere una seconda scheda di rete. Altrimenti non conosco nessuna soluzione pronta per quello che vuoi fare. Probabilmente dovresti creare un demone personalizzato per questo, che sarebbe un po 'complicato ma fattibile.





forwarding