[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: OpenSSH durch Proxy tunneln: ganz einfach
[Thread Prev] | [Thread Next]
- Subject: Re: OpenSSH durch Proxy tunneln: ganz einfach
- From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
- Date: Wed, 3 Jan 2007 00:18:28 +0100
- To: uugrn@xxxxxxxxxxxxxxx
Hi, Am Freitag, 15. April 2005 18:42 schrieb Raphael H. Becker: > Hallo zusammen, nicht erschrecken, das habe ich durch die Tiefen des Webs auf meinem Rechner wieder gefunden ;-) Deswegen auch Fullquote. > immer mal wieder kommt das Thema "ssh" hoch. In diesem Zusammenhang oft > auch in Verbindung mit den Tunnelmoeglichkeiten. Etwas unbekannter > scheint ssh via http-Proxy (zB squid) zu sein, zB um aus durch einen > Firewall rauszukommen (und somit auch Ports von/nach ausserhalb zu > tunneln): > ==> corkscrew/pkg-descr <== > Corkscrew is a simple utility to help tunnel SSH connections through > web proxies. > Add the following line to your ~/.ssh/config file (replacing HOST and > PORT with your web proxy settings): > ProxyCommand /usr/local/bin/corkscrew HOST PORT %h %p > WWW: http://www.agroman.net/corkscrew/ Wer es nur einmal benoetigt kann es auch direkt ssh als Option mitgeben: ssh -o ProxyCommand="/usr/bin/corkscrew proxy.daomin.de 3128 %h %p" > Normale http-Proxies erlauben normal CONNECT nur fuer ausgewaehlte Ports, > idR 443. SSH laeuft auf Port 22 und wird daher standardmaessig nicht > erlaubt. Abhilfe ist, auf dem Server den sshd auf Port 443 mitlaufen zu > lassen. Bei OpenSSH kann man mit "ListenAddress" explizit angeben, auf > welchen IPs/Ports gelauscht werden soll, zB > /etc/ssh/sshd_config: > ListenAddress 195.xx.xxx.11:22 > ListenAddress 195.xx.xxx.11:443 > Der ssh-Aufruf sieht dann entsprechend so aus: > $ ssh -d 443 host.ausserhalb.net In meinem Fall zum Glueck nicht notwendig :-) > Alternativ dazu kann man, wenn man darf, auch Port 22 fuer CONNECT > erlauben. Bei squid geht das zB mit: > Entweder man traegt den Port 22 in die acl "SafePorts" mit ein, das > sollte dann etwa so aussehen: > squid.conf: > [...] > acl SSL_ports port 443 563 22 > [...] > http_access deny CONNECT !SSL_ports > (glaube mehr braucht man nicht). Leider doch wie ich eben festgestellt habe. Bei mir stand [..] http_access deny !Safe_ports http_access deny CONNECT !SSL_ports [..] Deswegen musste ich 22 auch bei Safe_ports hinzufuegen. Also wer soetwas wie 1167779095.340 9397 client.ip.de TCP_MISS/200 2487 CONNECT server.domain.de:22 - DIRECT/a.b.c.d - in seinem squid access.log stehen hat sollte mal die ACLs (Ports) im squid ueberpruefen! Wen es interessiert fuer was ich das benoetige: - Eine Internet-Anbindung reicht nicht mehr aus, also zweite Internet-Anbindung (billiges ADSL) fuer die fetten Downloads. - Zweite Anbindung kann ueber einen (selbst eingerichteten) Proxy genutzt werden. - Ich kann nun in meinen Scripten, die sich z.B. taegliche Backups holen, weiterhin ssh nutzen :-), egal von welchem Server aus solange der Proxy erreichbar ist! *freu* Danke Raphael :-) -- Gruss \|/ eMHa (o o) ------------------------------------------------------oOO--U--OOo-- Markus Hochholdinger e-mail mailto:Markus@xxxxxxxxxxxxxxxxx .oooO www http://www.hochholdinger.net ( ) Oooo. ------------------------------------------------------\ (----( )- \_) ) / (_/ -- http://mailman.uugrn.org/mailman/listinfo/uugrn