Re: aiutino iptables+vnc+tunnel ssh

To: Debian-italian <debian-italian@lists.debian.org>
Subject: Re: aiutino iptables+vnc+tunnel ssh
From: "Dario Pilori" <penguin90@gmail.com>
Date: Fri, 18 Jul 2008 11:46:52 +0200
Message-id: <[🔎] 7ef8b5740807180246s9afc16fobd589b729dd703c9@mail.gmail.com>
In-reply-to: <[🔎] g5pmu1$29q$1@ger.gmane.org>
References: <[🔎] g5pmu1$29q$1@ger.gmane.org>

On Fri, Jul 18, 2008 at 11:14, Lucio Crusca <lucio@sulweb.org> wrote:
> Ciao *,
>
> vi spiego cosa voglio fare, poi spero in voi perché io non ci sono
> riuscito...
>
> ho un server vnc che ascolta sulla porta 5910 di una Debian Lenny. Questa
> lenny la posso raggiungere solo tramite vari tunnel ssh. Riesco a
> collegarmi da remoto al server VNC con:
>
> $ ssh -L 5910:127.0.0.1:5910 -p [porta del tunnel ssh esistente] ...
> $ vncviewer localhost::5910
>
> Quello che vorrei fare però è permettere ad altri di collegarsi al server
> VNC, senza dar loro accesso ssh ai vari server intermedi che stabiliscono
> il tunnel. Il problema è che con
>
> ssh -L 5910:127.0.0.1:5910 ...
>
> la porta 5910 viene aperta solo su localhost (interfaccia lo) e non su eth0.
Per ottenere quello che vuoi, devi creare un tunnel SSH vero e
proprio, creando interfacce di rete virtuali Point-To-Point tun0 e
tun1 nei vari PC. Praticamente vai a creare una VPN tra i due PC. Una
volta creata questa VPN, aggiungi con iptables le regole di routing
che desideri.
Per fare questo nel file /etc/ssh/sshd_config del server SSH aggiungi la riga:
PermitTunnel point-to-point
Poi accedi con OpenSSH:
ssh -C -o "ServerAliveInterval 1" -w 0:1 <indirizzo del server>

Se tutto va bene, nel client appare l'interfaccia tun0 e nel server
l'interfaccia tun1. Poi configuri un indirizzo IP, e metti il routing.
Comunque questa non è una soluzione "bella". Se vuoi fare qualcosa di
più stabile di un tunnel SSH ti consiglio di tirare su una VPN usando
OpenVPN.

> Allora ho provato (senza successo):
>
> # iptables -t nat -A PREROUTING -p tcp --dport 5910 -i eth0 -j
> DNAT --to-destination 127.0.0.1:5910
> # echo "1" > /proc/sys/net/ipv4/ip_forward
>
> ma a fronte di verifica nmap, la 5910 risulta sempre filtered all'esterno.
> Come devo fare?
Ovviamente la porta 5910 è aperta solo su localhost, nell'interfaccia
di rete lo. Quindi devi per forza fare un tunnel SSH o una VPN, come
detto sopra.

-- 
Dario Pilori
Linux registered user #406515

"La birra è la prova che Dio ci ama e vuole che siamo felici"
Benjamin Franklin

Reply to:

Follow-Ups:
- Re: aiutino iptables+vnc+tunnel ssh
  - From: Lucio Crusca <lucio@sulweb.org>

References:
- aiutino iptables+vnc+tunnel ssh
  - From: Lucio Crusca <lucio@sulweb.org>

Prev by Date: R: ntfs e danni gravi :-/ mount-ntfs-fuse
Next by Date: Re: ntfs e danni gravi :-/ mount-ntfs-fuse
Previous by thread: aiutino iptables+vnc+tunnel ssh
Next by thread: Re: aiutino iptables+vnc+tunnel ssh
Index(es):
- Date
- Thread