» »

HTTP tunnel - ve kdo kaj o tem?

antonija ::

Moj problem je naslednji: V poljubnem omrezju, kjer je odprtih le nekaj portov (firewall pa to; 80 je ziher odprt) bi rad dostopal do domacega streznika (na druge porte, recimo 11111, 22222 in 33333). Baje (tko pravi google) je treba postaviti nekaj cemur se rece "HTTP tunnel", pri katerem klient (jaz v random omrezju) posilja podatke na recimo port 80 od streznika, streznik pa tunelira podatke na drug port (recimo 11111) in poskrbi da zadeva deluje tudi v obratni smeri.

Ce kdo ve kaj vec o tej zadevi naj prosim pove kaj vec!! (tud linki do kaksnega howto-ja so dobrodosli)

Server laufa debiana, klient je pa itak vseeno kaj je (je pa firefox na Ubuntuj Edgy ce slucajno ni vseeno:8))
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

t909 ::

Kaj pa bi ti delal na teh portih? Ce je na teh poslusa kaksen web streznik, potem bo zadostovalo, da vpises proxy server v svoj brskalnik. Ce rabis kaj vec pa poglej OpenVPN.

Kekec ::

Predvidevam da delas v kakšnem podjetju in vam zlobni administratorji zapirajo vse po vrsti, tko kot nam :D lahko ti pa povem da ce imajo dovolj dobra orodja bodo kaj kmalu zaznali tvoje proxy-ije, za HTTP tunneling pa imas že obstoječe plačljive servise ali pa si lahko naredis svojega vendar potem rabis nekje en strežnik seveda izven firme ki bo to serviru. Sama orodja pa najdeš na netu tudi zastojn.
lp

antonija ::

Ubistvu sem si jaz to tko zamislu, da bi kar moj server to pocel. In sicer jaz bi v firefoxu vpisal "http://moj_IP/redirect1" (torej port 80), server bi pa zacel tunelirat moje paketke na "IP_naslov:port" ki bi ga dodelil "redirect1". Tako network admin nebi smel vedeti da ga kdo kaj serje...8-)

A se to da (in kaj vse za to rabim)?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Kekec ::

Seveda se da!

Admin te lahko odkrije v vsakem primeru to pa je odvisno od različnih faktorjev:
- pure luck
- delaš preveč prometa
- te ne mara in te opazuje 24/7 :)
- malo stevilo zaposlenih (omogoča lažji nadzor)
- super duper software (ponavadi ni poceni)
- ...


Pomoje če nimate nekakšne stroge politike probat ni greh :)

Kaj rabiš je pa odvisno kaj teče na tvojiem računalniku in strežniku!

antonija ::

pure luck
Tukaj glih nimam veliko vpliva...
delaš preveč prometa
Kolicinsko ga niti ne bo veliko (ne gre se za kaksne p2p-je), bo pa stevilo paketkov verjetno kar veliko.
te ne mara in te opazuje 24/7 :)
Me ne pozna (verjetno ne ve da obstajam).
malo stevilo zaposlenih (omogoča lažji nadzor)
Tko na uc priblizno 500 racunalnikov v mrezi, lahko se kaksen vec.
super duper software (ponavadi ni poceni)
Ah, to pa ne. Pri nas se vedno spara, pa naj kosta kolikor hoce!!>:D

Na serverju laufa debian z apachetom (dvojka se mi zdi).
Na PCju laufa ubuntu edgy.

Tako na PC kot na server lahko instaliram kar hocem (for I am root!!8-))
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Kekec ::

Na serverju laufa debian z apachetom (dvojka se mi zdi).

tukaj pa ti ne morem pomagat jaz sem Microsoft uporabnik ampak vem da na googlu najdes morje tega.

antonija ::

Sej apache tud na winsih laufa ;) Vseeno rposim napisi okviren postopek (in kateri/kaksen software rabim) da bom vsaj vedel kaj naj iscem na googlu...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

ABX ::

Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

SeTAr ::

če imaš no obeh koncih unix mašino potem lahko doma postaviš na en dovoljen port ssh strežnik in potem narediš iz službe tunel do tja:
ssh -p ssh_port -L lokalenport:ip_v_oddaljenem_omrezju:oddaljen_port user@server

potem se v firefoxu samo povežeš na http:\\localhost:lokalenport

ABX ::

Jebeš Unix. :) Stvar dela odlično na Windows platformi.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

kekz ::

Možne rešitve so najbolj odvisne od tega, na katerem layerju dela vaš firewall.
Če je to layer4 (transportni), potem samo urediš, da ti ssh dela na portu 80 in si postaviš ssh tunel (glej Google).
Če je to layer7 (aplikativni), potem rabiš TCP/IP over HTTP(S) (glej Google). Npr. htun je nekaj takega. Dela slabše (odzivnost, prepustnost) zaradi več overheda, vendar prideš tudi skozi hude proxye.

Najhujša varnostna zaščita pa je, da vam sploh ne pustijo do sistema, kjer vse skupaj teče, ampak samo čez remote desktop dobiš sliko na svoj PC (terminal service). Sploh če imaš še kakšen javanski klient. Za ta način še ne poznam rešitve (ampak še delam na tem >:D). V to kategorijo spadajo tudi Citrix ipd.

antonija ::

A se da na hitro preverit kateri layer je firewall?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

ABX ::

Če dela samo http:// je port 80, če dela tudi https:// je 80 in 443. :)
Vaša inštalacija je uspešno spodletela!

antonija ::

Ja, ampak to je layer 4 (filtriranje po portih). Layer 7 pa prepozna pakete po njihovem "namenu" (loci med p2p bittorrent, p2p ed2k, HTTP, HTTPS, FTP,...)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

ABX ::

Če boš uporabljal(a) SSH tunneling itak bo promet kriptiran in admin bo videl promet kot navaden https promet.
Vaša inštalacija je uspešno spodletela!

kekz ::

Šifrirana je samo vsebina. Protokol pa mora kljub temu upoštevati določena pravila in po teh je razpoznaven. Ne le razpoznaven, ampak imajo ta pravila tudi namen, da naprave, katerim je protokol namenjen znajo ustrezno delati s podatki. To tudi proxyi (npr. v firewallu upoštevajo). SSH ne moreš kar direktno spraviti skozi https proxy.
Bolj natančno o https protokolu je tukaj:
http://www.abakus.si/index.php?option=com_content&task=view&id=44&Itemid=9&limit=1&limitstart=4

antonija ::

Ubistvu bi jaz rad naredil stvar tako, da bojo sli podatki od mene najprej enmu programu ki jih kripta in zapakira v HTTP(S) paketke, ki jih potem poslje mojemu serverju, ki te paketke odpakira in jih poslje na zahtevan naslov. Ce jaz prav razumem bi moral tako nastat (za firewall) cisto navaden HTTP(S) (recimo na portu 80) promet.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

kekz ::

To dela že omenjeni htun.
Nekaj težav je pri dvosmernosti. Server, ko ima podatke za poslati klientu, ne more sam začeti prenosa. Zato klient periodično sprašuje server, če ima kaj za prenos. Ko ni podatkov se ta interval podaljšuje in je odzivnost slabša. HTTP(S) pač v osnovi ni namenjen temu.
Jaz zadevo ravno zdaj preizkušam in še nimam dosti praktičnih rezultatov.

antonija ::

V ubuntu repozitorijih sem nasel vtun paketek. Pri opisu pise da se z njim da vzpostavljati VPN tunnele. A VPN (wiki page ni ravno v pomoc) pomeni isto stvar ki jo jaz hocem?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

ABX ::

Preberi link ki sem ti ga dal.

Na domač server inštaliraj "SSH server na port 443 / 80". V službi / šoli poglej če imaš port 443 (https strani) odprt poleg porta 80.

Nato uporabi putty za se povezat iz službe na tvoj server.

Če uporabljaš proxy v službi ga dodaj v putty nastavitve in dodaj porte za aplikacije ki želiš usmeraj na SSH tunnel.


Admin bo v najboljšem primeru ugotovil da nekdo vzpostavlja SSH povezavo iz internega pc-ja na zunanji server ampak ne bo vedela kaj ta promet vsebuje ne kam gre.
Vaša inštalacija je uspešno spodletela!

antonija ::

Ce slucajno koga zanima sem zadevo nastimal preko openSSH streznika. Edino kar me moti je to, da ne znam napisat skripte ki bi zagnala SSH tunel in se VNC (naprimer).

A slucajno kdo ve kako bi morala izgledati taka skripta za Ubuntu(Debian)? Zatakne se pri vpisovanju gesla za ssh povezavo...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

blue ::

@antonija autothentikacijo naredi z ključi in ne z geslom.

pa pazi kam pošlje DNS request, če uporabljaš stvari, ki nucajo DNSe.

antonija ::

Kako pa naredim avtentifikacijo s kljucem?:8)

Glede DNSjev... a raje uporabim IPje? Pol ni potrebe za DNS requeste...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

antonija ::

Zdej sem naredil avtentikacijo s kljucem, ampak zdaj pa vedno zahteva "passphrase". Pa vsi tutoriali in howto-ji svarijo pred kljuci s praznim passphrase-om...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

blue ::

poglej si keychain za linux.

To, da ti dns resolva na remote mašini je del socks 5 specifikacije. V windowsu uporabljam SocksCap32.

A kdo mogoče ve kdo kako bi najbolj varno naredil nepriviligiranega userja samo za SSH tunele?

antonija ::

No zdej sem se na sihtu sprobal in dela skozi firewall>:D zdej pa cakam da pride razpenjen admin kaj se grem na njegovem omrezju...8-)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Matthai ::

To dela zato, ker imajo glup sistem omejevanja dostopa do interneta. Ko bodo uporabili kaj pametnejšega, pa TI lahko uporabiš tole: http://sebsauvage.net/punching/

>:D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mraÄćenja, ko se dan preveĹĄa v noÄć; biti moramo pozorni opazovalci
okolja in varuhi luÄći, da ne postanemo nemoÄćni ujetniki teme. --W. Douglas

barakus ::

2 vprašanji:
A obstaja windows serv/client varjanta?
A kakšen napreden firewall zazna tudi http tunnel?

trnvpeti ::

1 logmein
2 da

barakus ::

logmein to podpira torej? zastonjska varianta? Na googlu sem nasel neke zapise z datumom tega meseca, da nima vec te opcije?

Na kakšnem principu pa firewall zazna http tunnel?

Matthai ::

Analiza prometa?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mraÄćenja, ko se dan preveĹĄa v noÄć; biti moramo pozorni opazovalci
okolja in varuhi luÄći, da ne postanemo nemoÄćni ujetniki teme. --W. Douglas

ABX ::

Matthai je izjavil:

Analiza prometa?


Glede na pomanjkanja kadra v IT so možnosti analize prometa izredno majhne. Prej bo kdo videl v tvoj ekran če delaš kaj neprimernega.
Vaša inštalacija je uspešno spodletela!

Matthai ::

Za Network Appliance naprave še nisi slišal?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mraÄćenja, ko se dan preveĹĄa v noÄć; biti moramo pozorni opazovalci
okolja in varuhi luÄći, da ne postanemo nemoÄćni ujetniki teme. --W. Douglas

ABX ::

In ti si že slišal za "imam toliko dela da nimam časa za nič" ?

Sem delal že marsi kje, vendar nikoli niso zvohali moje ssh tunele. In sem bil vedno v odličnih stikih z mrežnim admin-om.
Zadeva je tako light da je več možnosti da te zasačijo pri delo za tvojim ekranom.

Poleg tega danes imam firefox + ssh tunnel pripravljen na USB ključu. Tako ko me kolega prosi za anonimno srfanje na netu imam že vse pripravljeno.

P.S: Firefox ima en super plugin ki omogoča uporabo ssh tunela samo za določene strani (FoxyProxy).
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

brodul ::

O tej temi smo že pisali.

Vse je odvisno kaj bi rad počel. (meni še sedaj ni jasno kaj)

Naprej priporočam socks:
SOCKS @ Wikipedia

Jaz ga uporabljam, da kaj napišem v svoj intranet wiki, spreminjam konfiguracijo Tomatota, preusmerim IRC.
Gre za neko vrsto, če govorim laično in iz stališča uporabnika, "instant proxy".
alias gohome='ssh -N -D 9999 -p 1668 brodul.linux.org

Pri čemer je 1668 port ssh serverja (če imaš privzete nastavitve odstraniš -p 1668). brodul.linux.org pa domena (v mojem primeru imam dinamični IP)
Ko napišem
gohome 

In napišem geslo od strežnika. Imam na localhost:9999 Socks proxy. To nastavitev enablam, v firefox, irssi ... oz. programih ki podpirajo socks

Druga varjanta je pa openVPN. O tem je pa veliko napisanga.
Jaz imam server na GL routeju.
Pretending to be a mature adult is so exhausting.

misek ::

ABX, poskusi prenašati večjo količino podatkov preko ene pametne "Network Appliance" naprave. Če je ustrezno skonfigurirana ti bo kar hitro prekinila povezavo. Seveda je vse odvisno od politike v podjetju.

ABX ::

misek je izjavil:

ABX, poskusi prenašati večjo količino podatkov preko ene pametne "Network Appliance" naprave. Če je ustrezno skonfigurirana ti bo kar hitro prekinila povezavo. Seveda je vse odvisno od politike v podjetju.


Ne rabiš veliko podatkov, ker doma imaš strežnik. Zadeva je tudi zelo uporabna če greš v tujino in imajo kak smotan firewall (Kitajska, tunisija, ...)
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Matthai ::

Mene pa zanima - glede na to, da se baje pripravlja command line verzija oz. upravljanje Linux Network Managerja - če se bo dalo preko NM-ja izvajati DNS tunnelling (oz. če to že obstaja)?

Bi prišlo zelo prav, ko si na kakšnem letališču...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mraÄćenja, ko se dan preveĹĄa v noÄć; biti moramo pozorni opazovalci
okolja in varuhi luÄći, da ne postanemo nemoÄćni ujetniki teme. --W. Douglas

ABX ::

Iz mojih zapisok za ssh tunneling:

Make sure you forward DNS with network.proxy.socks_remote_dns set to true if you're using Firefox.
Vaša inštalacija je uspešno spodletela!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Google Apps - blokirani gmail strežniki - pomoč?

Oddelek: Omrežja in internet
151101 (731) qhar
»

VPN ali kaj drugega?

Oddelek: Omrežja in internet
9986 (875) misek
»

p2p blokada samo 1. računalnika v lanu

Oddelek: Omrežja in internet
101179 (768) SasoS
»

VNC+ varnost + dinamični IP. Kako ??

Oddelek: Omrežja in internet
352549 (1565) flisko
»

ssh -X

Oddelek: Operacijski sistemi
81137 (991) mangaldar

Več podobnih tem