ssh туннелирование

[Alex Keda]

никто не баловался?
знаю что есть и работает, щас ман курю, но чтобы не наструпать на грабли - мож кто юзал?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Dmitriy.A]

баловался только plink ом

[Alex Keda]

ну, подумавши от идеи отказался - с того конца надо будет нат изобретать - ибо иначе локалку я к себе не сроучу
=========
дома я сижу, дали vpn - не могу подцепитья никак...
весь день убил на маны по ppp; pptp; и mpd3/4
потихоньку наступает просветление - я хотя бы начинаю понимать чё делаю, но явно рабочий конфиг мопеда4 вешает сситему через 3 сек после подключения, а pptp отваливается от первго же пакета посланного в туннель. Ответа, разумеется не приходит.
завтра буду нашего цисочника трясти - пусть дебажит - чё я не так делаю...

[Turbo]

где то наступил на чтото но где... может адреса спутал гдето или пишу чтото не то.
удаленная сеть:
хочу подключиться к виндовой тачке 192,168,0,2 внутр интерфейс сервака фри 192,168,0,1 интернет смотрю с 212.9.232.xxx
пытался пользоваться статьей http://www.lissyara.su/?id=1372 но наверно я чудо криворукое

Код: Выделить всё

server# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::200:1cff:fed7:398b%rl0 prefixlen 64 scopeid 0x1
        inet 212.9.232.xxx netmask 0xfffffffc broadcast 212.9.232.195
        ether 00:00:1c:d7:39:8b
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::200:1cff:fed7:4f97%rl1 prefixlen 64 scopeid 0x2
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:00:1c:d7:4f:97
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet 127.0.0.1 netmask 0xff000000

server# ssh admin@212.9.232.xxx -L 192.168.0.1:3389:192.168.0.2:3389
The authenticity of host '212.9.232.xxx (212.9.232.xxx)' can't be established.
DSA key fingerprint is b5:39:a0:18:37:c4:4b:41:03:d9:66:97:ac:1e:97:b1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '212.9.232.xxx' (DSA) to the list of known hosts.
Password:
Last login: Mon Oct 1 08:26:58 2007 from reproducing-urn
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.

FreeBSD 6.0-RELEASE (GENERIC) #0: Thu Nov 3 09:36:13 UTC 2005

ssh_config [----] 0 L:[ 10+29 39/ 39] *(1259/1259b)= <EOF>

Код: Выделить всё

#       $OpenBSD: ssh_config,v 1.16 2002/07/03 14:21:05 markus Exp $
#       $FreeBSD: src/crypto/openssh/ssh_config,v 1.22 2003/09/24 19:20:23 des E

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for various options

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsAuthentication no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   BatchMode no
#   CheckHostIP no
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes2
#   EscapeChar ~
#   VersionAddendum FreeBSD-20030924

[Alex Keda]

не. помоему ты непонял.
у меня как было

Код: Выделить всё

WINDOWS --- BSD --inet-- BSD -- me

у тя дома же не такая структура (левая часть от inet)
cскорей сего у тя так:

Код: Выделить всё

WINDOWS --- BSD --inet -- me

т.е. ты со своей машины набираешь всё это - у путти параметры такие же иил похожие, и коннектишься к себе на локалхост...

[Turbo]

я вот сижу и втыкаю
у меня так

ДомашнийВынь- интернет - БСД - Вынь2003сервачок-куда-стучусь

де что запустить чтоб тунель поднять/набрать? а то на БСД набираю всякое - конекта нету

[Alex Keda]

нету у меня винды дома.
тебе надо надомашней машине набрать вышеуказанную строчку, чтобы приконнектится к БСД.
после этого, коннектится по RDP на локальную машину...
=========
завтра на работе винду найду - выложу чё набирать.
а вообще, за это время мона было help от putty осилить - несмотря на всю его мутность.

[Turbo]

осилил. через putty подключился

не сразу врубился что это надо делать на своей локальной тачке - простите ламера

[Alex Keda]

тебе надо надомашней машине набрать вышеуказанную строчку, чтобы приконнектится к БСД.
после этого, коннектится по RDP на локальную машину...

лучше строкй коннекта поделись.
если отличия от никсовго варинта есть

[Turbo]

вот де надо прописаться чтоб потом стучаться на 127,0,0,1:порт и приконектистья внутри сети к чему угодно (надо через путти войти в систему)
(смотрим аттач)
Кстати, ответ нашел не самостоятельно - воспользовался звонком к другу

ssh-tunnel

во что в хэндбуке прочитал - для памяти решил написать:

14.11.8. Туннелирование SSH

OpenSSH поддерживает возможность создания туннеля для пропуска соединения по другому протоколу через защищенную сессию.

Следующая команда указывает ssh(1) создать туннель для telnet:

% ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com
%

Команда ssh используется со следующими параметрами:

-2

Указывает ssh использовать версию 2 протокола (не используйте этот параметр, если работаете со старыми SSH серверами).
-N

Означает использование в не-командном режиме, только для туннелирования. Если этот параметр опущен, ssh запустит обычную сессию.
-f

Указывает ssh запускаться в фоновом режиме.
-L

Означает локальный туннель в стиле localport:remotehost:remoteport.
user@foo.example.com

Удаленный сервер SSH.

Туннель SSH создается путем создания прослушивающего сокета на определенном порту localhost. Затем все принятые на локальном хосту/порту соединения переправляются на через SSH на определенный удаленный хост и порт.

В этом примере, порт 5023 на localhost перенаправляется на порт 23 на localhost удаленного компьютера. Поскольку 23 это порт telnet, будет создано защищенное соединение telnet через туннель SSH.

Этот метод можно использовать для любого числа небезопасных протоколов, таких как SMTP, POP3, FTP, и так далее.

Пример 14-1. Использование SSH для создания защищенного туннеля на SMTP

% ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com
user@mailserver.example.com's password: *****
% telnet localhost 5025
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mailserver.example.com ESMTP

Этот метод можно использовать вместе с ssh-keygen(1) и дополнительными пользовательскими учётными записями для создания более удобного автоматического SSH туннелирования. Ключи могут быть использованы вместо паролей, и туннели могут запускаться от отдельных пользователей.
14.11.8.1. Практические примеры SSH туннелирования
14.11.8.1.1. Защищенный доступ к серверу POP3

На работе находится SSH сервер, принимающий соединения снаружи. В этой же офисной сети находится почтовый сервер, поддерживающий протокол POP3. Сеть или сетевое соединение между вашим домом и офисом могут быть или не быть полностью доверяемыми. По этой причине вам потребуется проверять почту через защищенное соединение. Решение состоит в создании SSH соединения к офисному серверу SSH и туннелирование через него к почтовому серверу.

% ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com
user@ssh-server.example.com's password: ******

Когда туннель включен и работает, вы можете настроить почтовый клиент для отправки запросов POP3 на localhost, порт 2110. Соединение будет безопасно переправлено через туннель на mail.example.com.
14.11.8.1.2. Прохождение через Драконовский Брандмауэр

Некоторые сетевые администраторы устанавливают на брандмауэрах драконовские правила, фильтруя не только входящие соединения, но и исходящие. Вам может быть разрешен доступ к удаленным компьютерам только по портам 22 и 80, для SSH и просмотра сайтов.

Вам может потребоваться доступ к другому (возможно, не относящемуся к работе) сервису, такому как Ogg Vorbis для прослушивания музыки. Если этот сервер Ogg Vorbis выдает поток не с портов 22 или 80, вы не сможете получить к нему доступ.

Решение состоит в создании SSH соединения с компьютером вне брандмауэра и использование его для туннелирования сервера Ogg Vorbis.

% ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org
user@unfirewalled-system.example.org's password: *******

Клиентскую программу теперь можно настроить на localhost порт 8888, который будет перенаправлен на music.example.com порт 8000, успешно обойдя брандмауэр.
14.11.9. Параметр ограничения пользователей AllowUsers

Зачастую хорошие результаты даёт ограничение того, какие именно пользователи и откуда могут регистрироваться в системе. Задание параметра AllowUsers является хорошим способом добиться этого. К примеру, для разрешения регистрации только пользователю root с машины 192.168.1.32, в файле /etc/ssh/sshd_config нужно указать нечто вроде следующего:

AllowUsers root@192.168.1.32

Для разрешения регистрации пользователя admin из любой точки, просто укажите имя пользователя:

AllowUsers admin

Несколько пользователей должны перечислять в одной строке, как здесь:

AllowUsers root@192.168.1.32 admin

Замечание: Важно, чтобы бы перечислили всех пользователей, которые должны регистрироваться на этой машине; в противном случае они будут заблокированы.

После внесения изменений в /etc/ssh/sshd_config вы должны указать sshd(8) на повторную загрузку конфигурационных файлов, выполнив следующую команду:

# /etc/rc.d/sshd reload
http://www.freebsd.org/doc/ru_RU.KOI8-R ... enssh.html