Re: OT: Acceso remoto por túnel SSH a través de proxy

[Federico Alberto Sayd <fsayd@uncu.edu.ar>]

On 20/11/12 09:47, Javier Argentina wrote:
> Estimados:
>
> Este correo debería llamares "el proxy empresario vs. JAP", round 3.
> Si buscan el historial, verán que ya he tocado el tema del proxy, y
> hasta ahora la vengo apechugando más o menos bien.
> Lo del "OT", va porque no es específico Debian.
>
> Me han metido en mi trabajo un proxy que sólo tiene habilitado los
> puertos 80 UDP HTTP y 8080 TCP HTTP Proxy.
> Quiero acceder a una máquina externa a través de ssh, y se me ha
> complicado la cosa.
> He intentado con corkscrew, y no he tenido suerte, además de ser poco manejable.
> He intentado con proxytunnel, y tampoco.
> Sobre todo este último, y creo que corkscrew también, utilizan el
> puerto 443 TCP HttpS para acceder como SSL al anfitrión, y es un
> puerto que tampoco está abierto.
> Tengo intenciones de hacer los siguiente, y antes de hacerlo, escucho
> sugerencias, dado que la máquina a la que debo acceder está un poco
> lejos, y sólo la veo los fines de semana.
> No quiero echar a perder el sistema a la distancia.
> Lo extraño del caso, es que el proxy me deja acceder a páginas https
> sin inconvenientes.
No debería ser extraño, cualquier proxy decente debería poder manejar 
peticiones https
> Asumo que es por lo mal configurado que está, y, como ejemplo, cuando
> una accede a Facebook, en realidad lo hace a un http que lo
> redirecciona a una IP que está bajo https.
> Lo de mal configurado el proxy, es porque las páginas están bloqueadas
> por dirección; si uno las accede por IP, pasa como por un tubo sin
> inconvenientes.
No veo por qué está mal configurado, en este caso seguramente el proxy 
bloquea a través de una expresión regular que coincide con el nombre del 
hosts. Imaginate que bloquear por ip sería toda una odisea, cómo sabes a 
ciencia cierta cuales son los ip's de Facebook, y si lo sabes, qué 
posibilidades hay de que cambien en el corto plazo? Seguramente será 
posible hacer acl's por ip pero no me imagino lo que debe costar 
mantener este tipo de acl's actualizadas.
> Aclaro que si tengo una máquina sin proxy, el acceso remoto es impecable.
>
> La primer pregunta:
> ¿Hay alguna forma de hacer que la máquina remota responda por el
> puerto 80, y mediante algún artilugio, que me encamine a un túnel ssh?
Seguramente sí
> La segunda pregunta:
> Se me ocurrió habilitar en el anfitrión como escucha para ssh el
> puerto 80 (y si falla, el 8080), en lugar del que actualmente tengo
> habilitado.
Puedes hacerlo perfectamente, solo deberás asegurarte de que el tráfico 
que llegue a dicho puerto sea ssh y no http
> Antes de eso, debo desactivar apache2, lo que no me causa inconvenientes.
> ¿Tendría posibilidades de éxito? Mi teoría dice que sí, pues es
> cambiar el puerto de acceso a ssh.
> ¿No estaría metiendo la pata haciendo algo irremediable?
> Pasa que no sé si el puerto 80 sirve para otra cosa o embarra algo más.
El puerto 80 es un número más, ahora que se utilice por convención para 
mandar tráfico http es otra cosa. Lo que no quita que pongas a escuchar 
en ese puerto el programa que se te ocurra.
> Nunca me he metido con puertos de la lista estándar que son en teoría
> para otro menester. Cuando uso puertos para mis cosas, utilizo
> aquellos que no están en la "tablita".
No habrá problema, solo tendrás que tener en cuenta que por razones 
"históricas" y de "seguridad" solo una aplicación lanzada por el usuario 
root puede escuchar en los llamados "puertos conocidos", o sea, por 
debajo de 1024
> Escucho ofertas. Muchas gracias.
>
> JAP
Saludos