RE: Tunnel SSH et redirection générique pour un port...
Bonjour,
je me permets d'intervenir parcequ'il me parait qu'il y a un problême à la
base:
dis moi si je me trompe, mais tu veux pouvoir par exemple crypter ton
traffic pop avec tes différents services de mail ?
Et bien quoi que tu fasse, tant que tu attaqueras un serveur pop3, il y aura
toujours une partie non cryptée, à savoir, de SERV_PRIV vers tes differents
serveurs pop, la communication se fera en clair.
Par ailleurs, etant donné que tu n'as pas de masquerading de A jusqu'au
serveur pop, les paquets en retour (toujours non cryptés) prendront la route
directe vers ta machine A, sans repasser par R ni SERV_PRIV.
Si tu installes un proxy (poproxy, par exemple) sur SERV_PRIV, les paquets
reviendront bien jusqu'à ton proxy, mais en non crypté entre le proxy et le
serveur pop.
Enfin ce que j'en dis...
++
> -----Message d'origine-----
> De : David BERCOT [mailto:david.bercot@wanadoo.fr]
> Envoyé : mercredi 27 septembre 2006 10:16
> À : Debian [User-French]
> Objet : Re: Tunnel SSH et redirection générique pour un port...
>
>
> Bonjour,
>
> Le mardi 26 septembre 2006 à 21:00 +0200, Paul Filo a écrit :
> > > En tous cas, sachant que la sécurité du tunnel SSH me
> convient, si
> > > j'avais un moyen (proxy ?) de pouvoir y faire transiter
> le trafic que je
> > > souhaite (une sélection uniquement !), ça me conviendrait
> > > parfaitement...
> > >
> > > Merci d'avance pour les indices que vous pourrez me donner ;-)
> >
> > Tu as essayé vtun (http://vtun.sourceforge.net/) ? Tu fais un tunnel
> > vtun dans ton tunnel ssh et avec les bonnes routes coté
> client, tu dois
> > pouvoir t'en tirer (ce que tu veux faire n'est pas très clair).
>
> J'ai trouvé quelques exemples sur vtun, mais toujours avec 3 réseaux
> reliés ensemble et j'ai du mal à adapter tout ça à mes besoins...
>
> Je vais donc essayer d'expliquer plus clairement mon problème...
>
> J'ai un ordinateur A, connecté à Internet.
> J'ai un réseau privé R, dont un serveur SERV_PRIV est connecté à
> Internet et accessible via SSH.
> J'arrive donc à faire un tunnel SSH entre ma machine A et mon serveur
> SERV_PRIV, sauf que, dans la définition du tunnel, je dois préciser
> l'adresse Internet à laquelle je veux me connecter via le tunnel.
> Exemple :
> ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110
> Ceci me limite donc, pour le port 110 par exemple, à un seul serveur
> accessible via le tunnel (ici, pop.wanadoo.fr).
>
> Or, mon besoin est le suivant :
> - création d'un tunnel SSH entre A et SERV_PRIV
> - ajout de routes spéciales sur certains ports pour que les requêtes
> correspondantes passent par SERV_PRIV et ensuite par le réseau R
> A titre d'exemple, ainsi, si je fais une requête sur le port 110, par
> exemple sur pop.wanadoo.fr, mais aussi sur pop.free.fr, je
> souhaiterais
> que ces deux requêtes passent par mon tunnel puis par le réseau R.
>
> Déjà, comme lors de la création de mon tunnel, je précise le serveur
> distant (pop.wanadoo.fr dans l'exemple), j'ai un peu de mal à voir
> comment modifier tout ça.
>
> Avec les réponses que vous m'avez données, j'imagine bien une sorte de
> serveur proxy sur mon serveur SERV_PRIV qui redirigerait les requêtes
> qui lui arrivent sur les réseau R (comme il le fait actuellement vers
> pop.wanadoo.fr). Dans ce cas, j'établirais, sur mon ordinateur A, un
> tunnel avec une syntaxe du genre :
> ssh -N -f SERV_PRIV -L5000:proxy_serv_priv:5000
> Mais alors, que puis-je mettre comme serveur proxy ?
> Et ensuite, comment dire à une requête de passer par ce serveur proxy
> (par exemple, dans Evolution, comment lui dire que mon serveur POP est
> pop.wanadoo.fr via proxy_serv_priv ?
>
> J'espère avoir été un peu plus clair dans mes explications...
>
> Merci d'avance.
>
> David.
>
Reply to: