Re: OpenSSH durch Proxy tunneln: ganz einfach

Autor: Markus Hochholdinger <Markus_at_hochholdinger.net>
Datum: 03.01.2007
Hi,

Am Freitag, 15. April 2005 18:42 schrieb Raphael H. Becker:
> Hallo zusammen,

nicht erschrecken, das habe ich durch die Tiefen des Webs auf meinem Rechner 
wieder gefunden ;-) Deswegen auch Fullquote.


> immer mal wieder kommt das Thema "ssh" hoch. In diesem Zusammenhang oft
> auch in Verbindung mit den Tunnelmöglichkeiten. Etwas unbekannter
> scheint ssh via http-Proxy (zB squid) zu sein, zB um aus durch einen
> Firewall rauszukommen (und somit auch Ports von/nach ausserhalb zu
> tunneln):
> ==> corkscrew/pkg-descr <==
> Corkscrew is a simple utility to help tunnel SSH connections through
> web proxies.
> Add the following line to your ~/.ssh/config file (replacing HOST and
> PORT with your web proxy settings):
>         ProxyCommand /usr/local/bin/corkscrew HOST PORT %h %p
> WWW: http://www.agroman.net/corkscrew/

Wer es nur einmal benötigt kann es auch direkt ssh als Option mitgeben:
ssh -o ProxyCommand="/usr/bin/corkscrew proxy.daomin.de 3128 %h %p" 


> Normale http-Proxies erlauben normal CONNECT nur für ausgewählte Ports,
> idR 443. SSH läuft auf Port 22 und wird daher standardmäßig nicht
> erlaubt. Abhilfe ist, auf dem Server den sshd auf Port 443 mitlaufen zu
> lassen. Bei OpenSSH kann man mit "ListenAddress" explizit angeben, auf
> welchen IPs/Ports gelauscht werden soll, zB
> /etc/ssh/sshd_config:
> ListenAddress 195.xx.xxx.11:22
> ListenAddress 195.xx.xxx.11:443
> Der ssh-Aufruf sieht dann entsprechend so aus:
> $ ssh -d 443 host.ausserhalb.net

In meinem Fall zum Glück nicht notwendig :-)


> Alternativ dazu kann man, wenn man darf, auch Port 22 für CONNECT
> erlauben. Bei squid geht das zB mit:
> Entweder man trägt den Port 22 in die acl "SafePorts" mit ein, das
> sollte dann etwa so aussehen:
> squid.conf:
> [...]
> acl SSL_ports port 443 563 22
> [...]
> http_access deny CONNECT !SSL_ports
> (glaube mehr braucht man nicht).

Leider doch wie ich eben festgestellt habe. Bei mir stand
[..]
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
[..]
Deswegen musste ich 22 auch bei Safe_ports hinzufügen.

Also wer soetwas wie
1167779095.340   9397 client.ip.de TCP_MISS/200 2487 CONNECT 
server.domain.de:22 - DIRECT/a.b.c.d -
in seinem squid access.log stehen hat sollte mal die ACLs (Ports) im squid 
überprüfen!

Wen es interessiert für was ich das benötige:
- Eine Internet-Anbindung reicht nicht mehr aus, also zweite
  Internet-Anbindung (billiges ADSL) für die fetten Downloads.
- Zweite Anbindung kann über einen (selbst eingerichteten) Proxy genutzt
  werden.
- Ich kann nun in meinen Scripten, die sich z.B. tägliche Backups holen,
  weiterhin ssh nutzen :-), egal von welchem Server aus solange der Proxy
  erreichbar ist! *freu*


Danke Raphael :-)


-- 
Gruß
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@Hochholdinger.net             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn


Received on Wed Jan 3 00:20:13 2007

Dieses Archiv wurde generiert von hypermail 2.1.8.

Weitere Links: