1.2, Andrew Kolchoogin (?), 12:33, 11/06/2008 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
И не забываем, что -R в ssh'е так будет работать _только_ в том случае, если не забыть в /etc/ssh/sshd_config поставить конфигурационный параметр "Gateway_ports" в "YES", чего по умолчанию, конечно же, нет.
| |
1.4, i_am (ok), 11:35, 17/06/2008 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> И открыты порты наружу .
Достаточно чтобы хоть какие-то данные качались, хоть HTTP.Далее в оные энкапсулируется что угодно, например и такая ssh сессия...
| |
|
2.7, Sadok (??), 13:17, 18/06/2008 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>> это приводит к серьёзной бреши в корпоративной безопасности
>
>Не более, чем предоставление внешним юзерам VPN-доступа с той же функциональностью. Просто
>пароли надо хранить!
>
>Хотя мне не очень понятно, что будет, если кто-то выполнит http://домашняя_машина:8080 (где
>"домашняя_машина" - та, где я делаю http://localhost:8080). Будет ли ssh редиректить
>запросы от сторонних машин?
Без ключа -g не будет
| |
|
1.6, User294 (ok), 12:20, 18/06/2008 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>Конечно же, это приводит к серьёзной бреши в корпоративной безопасности,
Угу, а если какойнить "пинч" пошлет спертые пароли банально засунув их в закодированном виде в HTTP GET запрос который к тому же сделает почти наверняка прописаный на фаерволе IE в невидимом окне - это не брешь в защите корпорации, да?Кому надо обойти фаервол его обойдет.Если хоть какой-то траффик можно прокинуть до хоть немного подконтрольного вам хоста - все, фаерволл оказывается в глубокой заднице.Если мыслить немного абстрактно, разрешенный метод коммуникации рассматривается в новой абстракции как транспортный уровень на который заново накладывается пачка протоколов.Далее фаерволл просто не способен анализировать что там шлется уровнями выше - а он то откуда знает что скажем HTTP в данном случае не передает смысловой нагрузки а всего лишь выступает как транспорт?
| |
1.8, ndruha (?), 15:55, 24/06/2008 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Извиняюсь, если ламерский вопрос, но как дать доступ юзеру только к туннелю ? То есть юзер коннектится на мой SSH-сервер, получает возможность туннеля и никакого доступа к шелу.
| |
|
2.9, Sadok (??), 16:50, 24/06/2008 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>Извиняюсь, если ламерский вопрос, но как дать доступ юзеру только к туннелю
>? То есть юзер коннектится на мой SSH-сервер, получает возможность туннеля
>и никакого доступа к шелу.
В статье же написано:
-N - не запускать shell на удаленном хосте
| |
|
1.14, Trofimov (?), 17:42, 04/12/2011 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Самая лучшая статья по SSH-туннелингу, которую встречал!
Но и она неполная. Вот, например, описано применение весьма интересного ключика -f, переводящего ssh-сессию в фон:
ssh -D 5555 user@remotehost -f -N
Ну хорошо, поработал всласть по образовавшемуся туннелю, выключил свой домашний комп.
И как теперь снова подключиться к этому же фоновому SSH-процессу?
Пока запускаю снова эту же строку, но это же неграмотно, т.к. процессы плодятся, а это никому не нужно.
| |
1.18, chuk (ok), 14:47, 19/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Обновлю эту тему, и тому есть веская причина.
Несколько лет назад успешно пользовался SSH-туннелем в варианте п.1 данного хавту.
Проблем при этом никаких и никогда не возникало - туннель работал как часы.
Пару дней назад снова вернулся к этому методу, но нет тут-то было - сколько ни бился, туннель не работает!
Долго консультировался на ЛОРе, но к определенным выводам, кроме как "анализируй лог", так и не пришли.
На клиенте и на сервере использую обновленный CentOS 5.5.
Туннель создаю командой на клиенте:
ssh -D -N 5555 tun1@remote-ssh-server -p 54822
По этой команде на клиентском экране выводится такой лог: http://pastebin.com/P1CN6XPj
Настроенный на SOCKS5 браузер выдает на «Соединение было сброшено» и сайты недоступны.
Что-то в этом мире SSH поменялось за это годы, но что именно - непонятно. Для выяснения причин нужна тяжелая артиллерия в вашем лице.
Не исключено, что по итогам понадобится корректировка данного хавту, так что выяснение неработоспособности туннеля будет полезно всем.
| |
|
2.20, Шмеле (?), 23:03, 24/12/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>[оверквотинг удален]
> На клиенте и на сервере использую обновленный CentOS 5.5.
> Туннель создаю командой на клиенте:
>
ssh -D -N 5555 tun1@remote-ssh-server -p 54822
> По этой команде на клиентском экране выводится такой лог: http://pastebin.com/P1CN6XPj
> Настроенный на SOCKS5 браузер выдает на «Соединение было сброшено» и сайты недоступны.
> Что-то в этом мире SSH поменялось за это годы, но что именно
> - непонятно. Для выяснения причин нужна тяжелая артиллерия в вашем
> лице.
> Не исключено, что по итогам понадобится корректировка данного хавту, так что выяснение
> неработоспособности туннеля будет полезно всем.
Точно такая же проблема на Kubuntu 14.10 b OpenSSH. Не знаю, что и делать.
| |
|
|