Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1808 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  kelle est la meilleure solution au nivo secu (access ssh depuis l ext)

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

kelle est la meilleure solution au nivo secu (access ssh depuis l ext)

n°227691
Tomate
Posté le 24-02-2003 à 13:09:38  profilanswer
 

salut,
 
j aimerai pouvoir acceder en ssh depuis l exterieur a ma passerelle
 
alors kelle est la meilleur solution (nivo secu bien sur ;)) pour mettre en place ce genre de chose ??
 
je sais k il existe des applets java, mais bon, est ce aussi reactif qu avec une console ssh ???
 
si j utilise sshd, est ce ke je peux le faire ecouter seulement sur ppp0, chroote, login user only (puis une fois logge, je peux me loger en root ??)
 
 
bref, bcp d interrogations :D
 
 
voilou, les pros de la secu, je m en remets a vous :hello:

mood
Publicité
Posté le 24-02-2003 à 13:09:38  profilanswer
 

n°227695
trictrac
Posté le 24-02-2003 à 13:13:20  profilanswer
 

je suis loin d'etre un pro .. mais a mon avis, si sur ta passerelle tu met un firewall qui laisse que le port 22 d'ouvert (et les autres dont tu as besoin bien sur), tu install openssh dessus, tu lui fait ecouter sur le port 22, tu laisse la config par defaut, et tu utilise n'importe quel client, tu auras une secu largement suffisante .... a moins d'etre vraiment le site d'une multinationnale et tout et tout ...

n°227698
Tomate
Posté le 24-02-2003 à 13:18:20  profilanswer
 

arf j ai oublie de preciser certaines choses importants :D
 
- j ai mis iptables comme firewall, ou aucun n est ouvert pour l instant (sauf 80 pour apache et 4662 :D)
- comme je veux y acceder depuis le taf, je me heurte a un proxy qui ne laisse sortir ke le port 80 :D
 
donc soit je mets ssh sur le port 80, soit j utilise mon apache en mode ssl sur le port 443 avec l applet java
 
 
c po un peu bourin ssh sur le port 80 kan meme ??

n°227700
nikosaka
Posté le 24-02-2003 à 13:22:51  profilanswer
 

utilise un tunneling ssh.(HTTPTunnel)
ça écoute sur le port 80 et ça redirige ensuite le ssh encapsulé vers ton port 22

n°227701
freds45
Posté le 24-02-2003 à 13:23:06  profilanswer
 

changes le port d'ecoute du ssh ! [:wam]
par exemple, tu passes de 22 a 222 :)


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°227703
Tomate
Posté le 24-02-2003 à 13:26:03  profilanswer
 

ssh sur le port 222 -> bah le proxy du taf me laissera pas passer :(
 
httptunnel, ok, mais mon site web, je le passe en ssl alors ...
 

n°227738
trictrac
Posté le 24-02-2003 à 13:57:44  profilanswer
 

mais pourkoi tu veux un site ouaib ???? il n'a roen a voar dans laffaire..
tu install httptunnel sur ton server .. tu lui dit que ce qui arrive sur le port 2222 c'est pour le port 22.
Ensuite, sur ton PC au taf, tu install htc (httptunnel client) et tu lui dis que tout ce qui arrive sur localhost sur le port que tu veux (par ex 2222) doit passer a travers le proxy pour aller sur ton server, sur le port 2222.
Ensuite, tu prend ton client ssh (putty par ex) et tu lui dis de se conecter sut localhost, port 2222.
Et pas de apache, rien

n°227746
Tomate
Posté le 24-02-2003 à 14:02:44  profilanswer
 

trictrac a écrit :

mais pourkoi tu veux un site ouaib ???? il n'a roen a voar dans laffaire..
tu install httptunnel sur ton server .. tu lui dit que ce qui arrive sur le port 2222 c'est pour le port 22.
Ensuite, sur ton PC au taf, tu install htc (httptunnel client) et tu lui dis que tout ce qui arrive sur localhost sur le port que tu veux (par ex 2222) doit passer a travers le proxy pour aller sur ton server, sur le port 2222.
Ensuite, tu prend ton client ssh (putty par ex) et tu lui dis de se conecter sut localhost, port 2222.
Et pas de apache, rien


 
ah ok, donc du cote du taf, httptunnel peut se connecter sur un autre port que le 80 (meme a vec le proxy qui ne laisse sortir ke le 80??)
 
 ;)

n°227752
trictrac
Posté le 24-02-2003 à 14:05:33  profilanswer
 

htc recois toutes les requetes sur localhost et sur un certain port (ca reste en local donc)et les envoie au travers du port 80 vers ton server sur un autres port ..
 
 
edit: tout ce qu'il faut du coté du client sous win: http://www.gnuage.org/


Message édité par trictrac le 24-02-2003 à 14:06:47
n°227757
Tomate
Posté le 24-02-2003 à 14:09:18  profilanswer
 

bon pour la partie client j ai bien ki a un "demon" qui ecoute pour envoyer ca vers ma passerelle
 
mais je comprends moi ca :  
comment httptunnel sur le client peut rediriger le flux par le proxy (port 80 donc) sur le port 2222 de ma passerelle, puisque le proxy n autorise rien d autre comme port de sortie que le port .... 80 !
 
 :hello:

mood
Publicité
Posté le 24-02-2003 à 14:09:18  profilanswer
 

n°227953
nikosaka
Posté le 24-02-2003 à 19:42:50  profilanswer
 

voilà comment moi je comprend le fonctionnement de httptunnel :
côté client (donc du taf) : tout tes paquets sont encapsulé dans du http et sorte par le port 80 (heureusement paske ta pa le choix).
côté serveur : ta passerelle reçoit les paquets ssh encapsulés sur le port 80 (c bon tu l as déjà ouvert avec iptables) les désencapsule  :??: puis les redirige vers le port 22.
Donc y a pas de raion pour que ça marche poa

n°227959
Tomate
Posté le 24-02-2003 à 19:48:46  profilanswer
 

j ai pas dis ke ca marcherai po, mais trictrac me disait ke httptunnel sur ma passerelle ecouterai sur le port 2222 par ex, or je pense ke c est po possible a cause du proxy du taf ;)
 
ai-je raison ??

n°228075
trictrac
Posté le 24-02-2003 à 22:11:07  profilanswer
 

essaie, je sais plus comment ca marche . mais ca doit pas etre ca, parce que j'avais un server HTS et apache qui tournaient en mme temps, donc?...

n°228076
trictrac
Posté le 24-02-2003 à 22:13:19  profilanswer
 

toi t'as du bol, je vien de tomber la dessus par hazard:
http://linuxfr.org/tips/130.html

n°228221
Tomate
Posté le 25-02-2003 à 11:21:28  profilanswer
 

trictrac a écrit :

toi t'as du bol, je vien de tomber la dessus par hazard:
http://linuxfr.org/tips/130.html


 :whistle:  
 
donc tu avais raison  :jap:

n°228241
trictrac
Posté le 25-02-2003 à 11:36:46  profilanswer
 

tomate77 a écrit :


donc tu avais raison  :jap:  


Coment as tu pu douter ;)

n°228272
Tomate
Posté le 25-02-2003 à 12:24:15  profilanswer
 

trictrac a écrit :


Coment as tu pu douter ;)


 
 :ange:

n°228330
Tomate
Posté le 25-02-2003 à 13:56:39  profilanswer
 

bon en fait j avais raison (je me disais aussi  :o )
 
pour preuve, extrait de la faq httptunnel ;)
 

Code :
  1. Q:   How do I get this going through a proxy?    A:
  2. On the server you must run hts. If I wanted to have port 80 (http) redirect all traffic to port 23 (telnet) then it would go something like:
  3. hts -F server.test.com:23 80
  4. On the client you would run htc. If you are going through a proxy, the -P option is needed,otherwise omit it.
  5. htc -P proxy.corp.com:80 -F 22 server.test.com:80
  6. Then telnet localhost and it will redirect the traffic out to port 80 on the proxy server and on to port 80 of the server, then to port 23.

 
 
donc c est bien normal ke le hts ecoute sur le port 80 avec un proxy au taf qui ne laisse sortir en dest que le port 80 ;)

n°228345
trictrac
Posté le 25-02-2003 à 14:09:01  profilanswer
 

pour ton info, ton proxy (si je me trompe pas) ne t'interdit pas de te connecter a des ports superieur a 1024 ... donc sur ton server chez toi, tu peux tres bien rediriger le port 2222 vers 23 .. pas de prob .. tant que c'est du traffic HTTP ...
Et c'est ca l'interet du httptunnel, c'est de transformer ton flux en flux HTTP que le proxy il y vois que du feu

n°228349
Tomate
Posté le 25-02-2003 à 14:12:51  profilanswer
 

nan, je crois ke le proxy interdit tout autre port ke le port 80 (http donc ;))
bah oui, seul le trafic internet est autorise (koi ke le ftp aussi je crois :D)
 
genre je crois ke ca : http://toto.com:8888 ca passe pas ;)

n°228350
trictrac
Posté le 25-02-2003 à 14:14:56  profilanswer
 

ben en fait, quand tu te connecte sur le port 80, le server le note et libere une socket non priovilégiée (sup a 1024) pour le dialogue qui suit ..
sur une socket donnée il ne peut y avoir qu'une seule connection, donc ca ne serait pas possible ...
PS: si je me trompe, je suis pas aidé pour mon partiel de rezo a venir ;)

n°228355
Tomate
Posté le 25-02-2003 à 14:21:01  profilanswer
 

trictrac a écrit :

ben en fait, quand tu te connecte sur le port 80, le server le note et libere une socket non priovilégiée (sup a 1024) pour le dialogue qui suit ..
sur une socket donnée il ne peut y avoir qu'une seule connection, donc ca ne serait pas possible ...
PS: si je me trompe, je suis pas aidé pour mon partiel de rezo a venir ;)


 
j ai po tout compris la  :??:

n°228356
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:21:32  profilanswer
 

trictrac a écrit :

ben en fait, quand tu te connecte sur le port 80, le server le note et libere une socket non priovilégiée (sup a 1024) pour le dialogue qui suit ..
sur une socket donnée il ne peut y avoir qu'une seule connection, donc ca ne serait pas possible ...
PS: si je me trompe, je suis pas aidé pour mon partiel de rezo a venir ;)


 :whistle:  
 
 
 
 [:zerod]

n°228362
Tomate
Posté le 25-02-2003 à 14:27:17  profilanswer
 

Zzozzo : ki a "raison" d apres toi ??

n°228365
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:29:27  profilanswer
 

Tiré du RFC793 ( TRANSMISSION CONTROL PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION ) :
 


Multiplexing:
 
    To allow for many processes within a single Host to use TCP
    communication facilities simultaneously, the TCP provides a set of
    addresses or ports within each host.  Concatenated with the network
    and host addresses from the internet communication layer, this forms
    a socket.  A pair of sockets uniquely identifies each connection.
    That is, a socket may be simultaneously used in multiple
    connections.
 
    The binding of ports to processes is handled independently by each
    Host.  However, it proves useful to attach frequently used processes
    (e.g., a "logger" or timesharing service) to fixed sockets which are
    made known to the public.  These services can then be accessed
    through the known addresses.  Establishing and learning the port
    addresses of other processes may involve more dynamic mechanisms.

n°228368
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:30:57  profilanswer
 

tomate77 a écrit :

Zzozzo : ki a "raison" d apres toi ??


Bon, tu faisais quoi en cours/TP de réseaux ? tu dormais ou quoi ? ... [:ddr555]
 
 
EDIT : Honte à toi, je suis un GL ...  :p ...  :D


Message édité par Zzozo le 25-02-2003 à 14:31:28
n°228372
Tomate
Posté le 25-02-2003 à 14:33:44  profilanswer
 

Zzozo a écrit :


Bon, tu faisais quoi en cours/TP de réseaux ? tu dormais ou quoi ? ... [:ddr555]
 
 
EDIT : Honte à toi, je suis un GL ...  :p ...  :D  


 
tu as compris ce ke je disais au moins (au nivo du port 80) ??
 
j ai bien compris k il y a un port src et un port dst
 
mon port src sera > 1024, mais mon port dest devra etre soit 80 ou 21 (a cause du proxy)
 
n est ce pas ?
 
ps : je parle du pc qui est au taf bien evidement ;)


Message édité par Tomate le 25-02-2003 à 14:34:20
n°228378
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:38:32  profilanswer
 

tomate77 a écrit :


 
tu as compris ce ke je disais au moins (au nivo du port 80) ??
 
j ai bien compris k il y a un port src et un port dst
 
mon port src sera > 1024, mais mon port dest devra etre soit 80 ou 21 (a cause du proxy)
 
n est ce pas ?
 
ps : je parle du pc qui est au taf bien evidement ;)


Cé quoi comme proxy ? Un proxy mandataire genre Squid ? ou un proxy SOCKS 5 par exemple ?

n°228381
Tomate
Posté le 25-02-2003 à 14:40:17  profilanswer
 

ca je sais po trop :(
je sais juste ke c est un proxy http, sur le port 80, sans authentification ;)

n°228382
e_esprit
Posté le 25-02-2003 à 14:43:34  profilanswer
 

tomate77 a écrit :


mais mon port dest devra etre soit 80 ou 21 (a cause du proxy)
 
n est ce pas ?
 
ps : je parle du pc qui est au taf bien evidement ;)


Tu confonds proxy et firewall la... c'est pas la meme chose  :non:  

n°228386
Tomate
Posté le 25-02-2003 à 14:45:11  profilanswer
 

le proxy est couple avec un firewall ;)
 

n°228387
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:45:25  profilanswer
 

tomate77 a écrit :

ca je sais po trop :(
je sais juste ke c est un proxy http, sur le port 80, sans authentification ;)


Y'a de fortes chances que ce soit un proxy mandataire ...
Ben en fait, les ports à travers lesquels tu "peux passer" dépendent de la config de celui ci ...
La cas typique serait qu'il ne laisse passer que les requetes vers le port 80 (port HTTP par défaut) voire aussi le port 21 (port FTP par défaut, en simplifiant car FTP est un cas un peu particulier) ... donc toi de l'autre côté du dois faire écouter sur le port 80 ou 21, par exemple, dans ce cas là ... stout ... :)

n°228389
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:46:39  profilanswer
 

tomate77 a écrit :

le proxy est couple avec un firewall ;)
 
 


Dis moi, pour surfer, tu indiques à ton browser qu'il doit utiliser un proxy ? ou pas besoin ? ...

n°228390
Tomate
Posté le 25-02-2003 à 14:46:48  profilanswer
 

Zzozo a écrit :


Y'a de fortes chances que ce soit un proxy mandataire ...
Ben en fait, les ports à travers lesquels tu "peux passer" dépendent de la config de celui ci ...
La cas typique serait qu'il ne laisse passer que les requetes vers le port 80 (port HTTP par défaut) voire aussi le port 21 (port FTP par défaut, en simplifiant car FTP est un cas un peu particulier) ... donc toi de l'autre côté du dois faire écouter sur le port 80 ou 21, par exemple, dans ce cas là ... stout ... :)


sbien ske je disais  [:yems93]


Message édité par Tomate le 25-02-2003 à 14:47:59
n°228396
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 14:54:26  profilanswer
 

tomate77 a écrit :


sbien ske je disais  [:yems93]


Attention, qd je dis tu écoutes à l'autre bout sur le port 80 voire 21, cé l'autre bout du tunnel http(s) qui doit écouter, et qui va "désencapsuler" les paquets de http(s) et les forwarder là ou il faut ... on s'est bien compris ... :o


Message édité par Zzozo le 25-02-2003 à 14:56:05
n°228399
Tomate
Posté le 25-02-2003 à 14:56:38  profilanswer
 

Zzozo a écrit :


Attention, qd je dis tu écoutes à l'autre bout sur le port 80 voire 21, cé l'autre bout du tunnel http(s), qui va "désencapsuler" les paquets de http(s) et les forwarder là ou il faut ... on s'est bien compris ... :o


 
tu parles bien de hts (httptunnel server qui tournera sur ma passerelle chez moi, donc a l ext du taf ;)) qui ecoutera sur le port 80 ou 21 ;)
 
en gros :

Code :
  1. le taf port 10000 ------> le taf proxy port 80 ------> chez moi ou HTTP port 80 (puis redirection avec httptunnel)


 
ps : c koi la difference entre server mandataire (proxy) et "proxy" SOCKS 5 ??


Message édité par Tomate le 25-02-2003 à 14:58:51
n°228406
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 15:04:05  profilanswer
 

tomate77 a écrit :


 
tu parles bien de hts (httptunnel server qui tournera sur ma passerelle chez moi, donc a l ext du taf ;)) qui ecoutera sur le port 80 ou 21 ;)
 
en gros :

Code :
  1. le taf port 10000 ------> le taf proxy port 80 ------> chez moi ou HTTP port 80 (puis redirection avec httptunnel)


 
ps : c koi la difference entre server mandataire (proxy) et "proxy" SOCKS 5 ??  


En très gros oui ... sauf que si jé bien compris avec ton package httptunnel, si tu entres en 10000 en local, tu dois sortir en 10000 en distant ... non ?


Message édité par Zzozo le 25-02-2003 à 15:04:42
n°228410
Tomate
Posté le 25-02-2003 à 15:09:14  profilanswer
 

j ai mis 10000 car je ne sais pas kel port il va ouvrir
 
pour le lance (le client) il demande seulement de savoir sur kel port ecoute le server (avec son ip/adresse evidement), et s il y a un proxy (et sur kel port)
 
donc le port 10000, c le client ki se demerde avec (normal en fait ;))

n°228416
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 25-02-2003 à 15:12:02  profilanswer
 

tomate77 a écrit :

j ai mis 10000 car je ne sais pas kel port il va ouvrir
 
pour le lance (le client) il demande seulement de savoir sur kel port ecoute le server (avec son ip/adresse evidement), et s il y a un proxy (et sur kel port)
 
donc le port 10000, c le client ki se demerde avec (normal en fait ;))


La dessus je sais car j'utilise pas ...
Car le firewall piercing cé mal .... :o ...

n°228419
Tomate
Posté le 25-02-2003 à 15:15:22  profilanswer
 

Zzozo a écrit :


La dessus je sais car j'utilise pas ...
Car le firewall piercing cé mal .... :o ...


 
c po du firewall piercing :D
 
je veux juste pouvoir me logger chez moi en ssh ;)
 
d ailleurs, d un point de vue secu (pour moi, pas le taf lol :D), est ce reisque ??
car meme si la liaison est cryptee, je me dis k on sait jamais kan meme :(

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  kelle est la meilleure solution au nivo secu (access ssh depuis l ext)

 

Sujets relatifs
Besoin d'un conseil pour ACCESS! ! Au secoursMessagerie ???? la meilleure !!!
DC315U Kelle Distrib ?[secu] Site pour sécurité sous linux?
[DEBIAN] une question sécu ...[secu] securiser apache pour empecher l'include de fichier de conf
Cherche une solution pour faire ejecter mes disquettes ZipFreeze des access disque sous Raid
Postfix : Relay Access Deniedpasserelle ADSL/Ethernet + Access Point Wireless
Plus de sujets relatifs à : kelle est la meilleure solution au nivo secu (access ssh depuis l ext)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR