/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
tunnel-ting
Fra : Rasmus Skov


Dato : 21-06-03 14:38

Senariet:
jeg har 3 maskiner: den ene "server" kan fanges både fra LAN'et og WAN'et,
de to andre "hemlig" og "klient" er på henholdsvis LAN og WAN, men kan ikke
se hinanden.

Målet:
Nu vil jeg gerne sætte noget software op på "serveren" så jeg fra "klienten"
kan forbinde mig til "hemlig". Softwaren skal være transparent (man skal
ikke kunne se forbindelsen ikke er direkte) og ikke kræve root-rettigheder
at installere/afvikle. Den ønskede forbindelse kunne f.eks. være http,
telnet eller ssh. Det ville være en ekstra bonus hvis softwaren krypterede
forbindelsen.

Vejen:
Det er så her i kommer ind i billedet ...
Jeg har selv kigget lidt på ssh -L og -R (f.eks. hos
http://www.cs.kuleuven.ac.be/system/security/ssh/vpn.shtml), men jeg må
indrømme at jeg ikke helt kan overskue det ... jeg arbejder selvfølgelig
videre på sagen og skal nok vende tilbage hvis jeg finden en løsning.
--
/rasmus
"Only wimps use tape backup. Real men just upload their important stuff on
ftp, and let the rest of the world mirror it." - Linus Torvalds



 
 
Lars Kongshøj (21-06-2003)
Kommentar
Fra : Lars Kongshøj


Dato : 21-06-03 14:48

Rasmus Skov wrote:
> jeg har 3 maskiner: den ene "server" kan fanges både fra LAN'et og WAN'et,
> de to andre "hemlig" og "klient" er på henholdsvis LAN og WAN, men kan ikke
> se hinanden.
> Nu vil jeg gerne sætte noget software op på "serveren" så jeg fra "klienten"
> kan forbinde mig til "hemlig". Softwaren skal være transparent (man skal
> ikke kunne se forbindelsen ikke er direkte) og ikke kræve root-rettigheder
> at installere/afvikle. Den ønskede forbindelse kunne f.eks. være http,
> telnet eller ssh. Det ville være en ekstra bonus hvis softwaren krypterede
> forbindelsen.
> Det er så her i kommer ind i billedet ...
> Jeg har selv kigget lidt på ssh -L og -R (f.eks. hos
> http://www.cs.kuleuven.ac.be/system/security/ssh/vpn.shtml)

Du kan også se på "man ssh". Fx vil

ssh -L 8080:hemlig:80 user@hemlig

give dig adgang til port 80 (http) på hemlig som port 8080 på din
klientmaskine (og det over en krypteret forbindelse).

--
Lars Kongshøj
http://www.kongshoj.com/

Rasmus Skov (21-06-2003)
Kommentar
Fra : Rasmus Skov


Dato : 21-06-03 15:44

"Lars Kongshøj" <lars_kongshoj@hotmail.com> wrote:
> ssh -L 8080:hemlig:80 user@hemlig
Det går jeg udfra skal køres på serveren?!

> give dig adgang til port 80 (http) på hemlig som port 8080 på din
> klientmaskine (og det over en krypteret forbindelse).
Hvis jeg skal kunne forstå dette, mener du "... som port 8080 på din
_server_ (og det over en krypteret forbindelse)".

når den bestrevne kommando afvikles og password er indtastet så bliver jeg
bare logget ind og ingen tunnel er sat op, jeg kan ihvertfald ikke svar på
"servers" port 8080 selvom "hemlig" kører http på port 80.

/rasmus
/



sorenasdf@tanesha.ne~ (21-06-2003)
Kommentar
Fra : sorenasdf@tanesha.ne~


Dato : 21-06-03 19:29

"Rasmus Skov" <news@aey.dk> writes:

> "Lars Kongshøj" <lars_kongshoj@hotmail.com> wrote:
> > ssh -L 8080:hemlig:80 user@hemlig
> Det går jeg udfra skal køres på serveren?!
>
> > give dig adgang til port 80 (http) på hemlig som port 8080 på din
> > klientmaskine (og det over en krypteret forbindelse).
> Hvis jeg skal kunne forstå dette, mener du "... som port 8080 på din
> _server_ (og det over en krypteret forbindelse)".
>
> når den bestrevne kommando afvikles og password er indtastet så bliver jeg
> bare logget ind og ingen tunnel er sat op, jeg kan ihvertfald ikke svar på
> "servers" port 8080 selvom "hemlig" kører http på port 80.

-L saetter en lytte-port op paa den maskine du ssh'er fra (L/ocal), og -R
saetter en lytte-port op paa den maskine du ssh'er til (R/emote).

Eksempler:

ssh -L 8080:www.google.com:80 mig@server

Nu kan du skrive http://localhost:8080/ i din browser og faa Google frem
(og det er saa 'server' som kontakter google i den anden ende af tunnellen).

ssh -R 8080:www.google.com:80 mig@server

Nu kan du skrive http://server:8080/ og faa Google frem.

Det er korrekt at du ogsaa bliver logget ind. Det er saadan ssh funger,
deraf navnet secure shell, man faar en shell paa den anden side som er
sikker .

Hvis du ikke vil have en shell paa den anden side, saa kan du evt. kigge paa
stunnel istedet. Men det kraever at du saa logger paa 'den anden side' og
starter en stunnel lytter op der foerst.


Mvh,
Soren

Henning Petersen Wan~ (02-07-2003)
Kommentar
Fra : Henning Petersen Wan~


Dato : 02-07-03 09:47

On 21 Jun 2003 20:28:35 +0200, <sorenasdf@tanesha.net> wrote:

> ssh -L 8080:www.google.com:80 mig@server
<cut>
> ssh -R 8080:www.google.com:80 mig@server
>
> Nu kan du skrive http://server:8080/ og faa Google frem.
>
> Det er korrekt at du ogsaa bliver logget ind. Det er saadan ssh funger,
> deraf navnet secure shell, man faar en shell paa den anden side som er
> sikker .

Eller brug -N

   ssh -N -R 8080:www.google.com:80 mig@server

så vil du ikke starte en shell op hvilket vel er det du egent vil.


--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste