The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Организация подключения по SSH через HTTP прокси
Устанавливаем ПО corkscrew (http://www.agroman.net/corkscrew/), позволяющее
создавать туннели поверх HTTP прокси.

Например, для Debian/Ubuntu:
   apt-get install corkscrew

Для FreeBSD:
   cd /usr/ports/net/corkscrew && make && make install


Создаем в домашней директории файл настроек .proxy-auth в который прописываем логин и пароль 
для подключения к прокси, в формате "имя:пароль", например:

   moi_login:moi_parol

Настраиваем проброс туннеля в SSH. В ~/.ssh/config добавляем:

   Host *
   ProxyCommand corkscrew хост_прокси_сервера порт_прокси_сервера %h %p ~/.proxy-auth

Вместо %h и %p ssh подставит хост и порт удаленной машины

Подключаемся к внешнему хосту стандартно:

   ssh testhost.ru
 
12.01.2009
Ключи: ssh, http, proxy, tunnel / Лицензия: CC-BY
Раздел:    Корень / Безопасность / SSH

Обсуждение [ RSS ]
  • 1.1, newser (ok), 17:02, 12/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Работает только если на прокси разрешён метод CONNECT для 22 порта (если, конечно, коннектимся на стендартный порт ssh). Т.е. зависит от настроек прокси.

    Авторизация на проксе - только basic, с NTLM, например, ждёт полный облом.

     
     
  • 2.6, XoRe (ok), 11:43, 13/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Работает только если на прокси разрешён метод CONNECT для 22 порта (если,
    >конечно, коннектимся на стендартный порт ssh). Т.е. зависит от настроек прокси.
    >
    >
    >Авторизация на проксе - только basic, с NTLM, например, ждёт полный облом.
    >

    Если есть возможность и необходимость, можно сказать sshd серверу слушать на 443 порту.

     
  • 2.7, User294 (ok), 12:24, 13/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Авторизация на проксе - только basic, с NTLM, например, ждёт полный облом.

    Не полный - при наличии мозга.Есть проксь занимающийся авторизацией на нтлм специально для тех кто ее не умеет(ntlmaps кажется называется).Строите цепочку и вперед.В общем то практически любой файрвол в плане защиты от интранетчиков - слегка профанация, рассчитанная на дурака.Не-дурак может в разрешенных данных пропихивать любые данные.

     

  • 1.3, Andrey Mitrofanov (?), 17:53, 12/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Устанавливаем ПО corkscrew
    >Например, для Debian/Ubuntu:
    >   apt-get install corkscrew

    Судя по
    http://packages.debian.org/search?suite=default§ion=all&arch=any&searchon
    G://http tunnel connect proxy site:packages.debian.org/lenny
    , в Debian чем-то подобным занимаются ещё connect-proxy и desproxy.

    ещё есть
    httptunnel G://httptunnel site:opennet.ru
    gotthard ?на *BSD...
    и много-много других - "первооткрывателей" метода CONNECT в http proxy.

    Более или менее просто "закрывается" --
    G://запретить туннель CONNECT сквид site:opennet.ru


    >Настраиваем проброс туннеля в SSH. В ~/.ssh/config добавляем:
    >   Host *
    >   ProxyCommand corkscrew хост_прокси_сервера порт_прокси_сервера %h %p ~/.proxy-auth
    >Подключаемся к внешнему хосту стандартно:
    >   ssh testhost.ru

    Либо "настраиваем", либо "стандартно". Если я ничего не пропустил.

     
  • 1.4, user (??), 10:43, 13/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Совет хороший.

    Если кто-то использовал аналогичный рецепт с поддержкой аутентификации по NTLM - поделитесь опытом.

     
  • 1.5, blackjackchik (??), 11:11, 13/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    давно такое юзаю собранное из ссырцов
     
  • 1.8, i (??), 09:30, 16/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да насчет ISA, у кого получилось через него ходить ?
    у меня кроме firefox-a ниодна програмулина не умеет :(
     
     
  • 2.9, anonim (?), 13:34, 16/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Если на ISA разрешен NTLM, поможет ntlmaps
     
  • 2.10, User294 (ok), 03:03, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >да насчет ISA, у кого получилось через него ходить ?
    >у меня кроме firefox-a ниодна програмулина не умеет :(

    NTLM оно любит.Юзайте цепочку - то что вам надо -> ntlmaps -> isa.

     

  • 1.11, Xdl (?), 16:42, 01/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вместо %h и %p ssh подставит хост и порт удаленной машины

    А как узнать этот "хост и порт удаленной машины" ?
    Где его посмотреть?

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру