Přihlásit
: [1]
   |   
: SSh tunel obracene  ( 5879 )
strublos
Sr. Member
****

Karma: 9
: 336



« : February 25, 2011, 23:42:01 »

Mam takovy dotaz:
router A, namapovany port napr 10001 pres ktery se propojim pomoci SSH  (plus nekolik dalsich namapovanych portu)
router B, neverejna IP
PC nekde na internetu

je nejaka moznost otevrit SSH tunel z routeru B na router A (automaticky po startu treba), pripojit se zvenku z PC na router A ale ovladat jakoby router B?

Pokud by byl problem s tim ze jsou to namapovane porty mohl bych router B vymenit za klasicky server ale tuto moznost moc nechci.

Oba routery maji linuxove firnware (openwrt a oleg)

Diky za rady
Hobil
Hero Member
*****

Karma: 58
: 4 006


« #1 : February 26, 2011, 11:39:32 »

ad1.
je nejaka moznost otevrit SSH tunel z routeru B na router A (automaticky po startu treba)
Standardni pripojeni z vnejsku k SSH serveru probiha takto:
pocitacA$ ssh -L mistni_port:localhost:vzdaleny_port adresa_vzdaleneho_serveru.cz
neboli (napr.)
strublos$ ssh -L 3010:localhost:10001 verejna_adresa.cz

Neumim si predstavit, jak nastavit routerA, aby se dokazal spojit s neverejnou adresou portu B, protoze jak to vypada, potrebujes inicializovat SSH pripojeni z vnejsku.

Pokud ustavis SSH tunel z B do A, pak netusim, jak se do nej dostat pri navazani noveho spojeni z venku. Jedine reseni by byl dle meho nazoru SSH server bezici na samostatnem kompu, tedy plne konfigurovatelny s podporou dalsich sluzeb OS (umoznujici napr. bezpecne vzdalene prihlaseni a nasledne otevreni spojeni s dalsimi kompy v siti z nej).

H.

Benzínem se nemá hasit ohniště
teď už je to jedno, ale pro příště... (K.P.)
tomyp
Sr. Member
****

Karma: 5
: 310


Smrt a daně máte jisté. Daně ovšem jistější.

375195726
« #2 : February 27, 2011, 02:13:47 »

Pro tenhle případ bude asi víc vyhovovat VPN s nastavením klient-klient, pak je mi jedno u kterého kompu sedím. Ale nastavit to,  to bude něco.

MDV 2010.1  KDE 4.4.3
strublos
Sr. Member
****

Karma: 9
: 336



« #3 : July 13, 2011, 01:10:50 »

Tak jsem si s tim trosku zase hral a vysledek je takovyto
Z domu udelam reverzni ssh tunel na router ktery ma namapovane porty
:
ssh -N -f -oPort=20502 strublos@111.222.333.444 -R 18000:localhost:80

na tomto routeru pokud zadam
:
wget -O /tmp/test 'http://127.0.0.1:18000'
tak stahnu stranku ze serveru ktery bezi na domacim PC

a ted to prijde
pokud pridam pravidla na routeru do iptables
otevrit port 20503 ktery je namapovan od ISP
:
iptables -A INPUT -p tcp --dport 20503 -j ACCEPT
a presmerovat na port 18000 na routeru
:
iptables -t nat -A SERVICES -i vlan1 -p tcp --dport 20503 -j DNAT --to 127.0.0.1:18000
tak bych ocekaval ze kdekoli na internetu zadam http://111.222.333.444:20503 a dostanu se na domaci PC (pres port 18000) ale nedostanu

Poradi nekdo?
tomyp
Sr. Member
****

Karma: 5
: 310


Smrt a daně máte jisté. Daně ovšem jistější.

375195726
« #4 : July 18, 2011, 19:51:33 »

Nesmíš používat přímo iptables, ale konfiguráky shorewallu. Shorewall ti při každém restartu přepíše to, co uděláš přímo přes iptables.

V mcc jde povolit porty v sekci bezpečnost - zapisuje se to právě do /etc/shorewall/rules.drakx. Nevim jestli je to rozhraní tak dokonalé, aby zvládlo tvoje požadavky. Tohle si budeš muset nastudovat, abys to dal dohromady: http://www.shorewall.net/

druhá varianta uložit pravidla pomocí  /etc/rc.d/init.d/iptables save
pak vykopnout shorewall - urpme shorewall
a pak používat klasicke iptables

budeš asi muset upravit rc skripty pro příslušné určité úrovně běhu (6 a 3 určitě), aby z nich vypadl shorewall a zapracovat tam psd demon, který má na starosti detekci skenování portů a interaktivní fw

Pokud v tomhle najdeš nějakou nepřesnost, tak mě omluv, už je to delší doba co jsem se v tom vrtal.

MDV 2010.1  KDE 4.4.3
strublos
Sr. Member
****

Karma: 9
: 336



« #5 : July 18, 2011, 21:06:48 »

Diky za radu ale tohle asi presne neresi problem. Pravidla iptables dokazu dostat na spravny mista ale ten posun pripojeni na tunel zvenci a presmerovani na patricny port v tunelu nejak nejde, povestny posledni krucek
tomyp
Sr. Member
****

Karma: 5
: 310


Smrt a daně máte jisté. Daně ovšem jistější.

375195726
« #6 : July 19, 2011, 09:36:33 »

tak si zkontroluj, jestli je tam budeš mít i po restartu počítače, jen tak pro jistotu.

MDV 2010.1  KDE 4.4.3
: [1]
   |   
 
: