Re: [OT] tunel ssh entre 2 servidores

To: Luis Díaz <diazluis2007@gmail.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: [OT] tunel ssh entre 2 servidores
From: Roberto Quiñones <roberto@acshell.net>
Date: Fri, 15 Apr 2011 08:53:35 -0300
Message-id: <[🔎] BANLkTimbFJABwHDA_1or-SKHTp6=S0M1jQ@mail.gmail.com>
In-reply-to: <[🔎] BANLkTin5phxwp3HytQJUBYTf=0p+Jy4H0g@mail.gmail.com>
References: <[🔎] BANLkTinoG5z++gVg9WzsPin534WsU-wFeQ@mail.gmail.com> <[🔎] BANLkTimRXOsNuRVxBJOHnLJeiRai6KN+Ag@mail.gmail.com> <[🔎] BANLkTikcHEbZnCW9dnF9FX=zDEy7_EoDow@mail.gmail.com> <[🔎] alpine.DEB.2.00.1104130813560.18216@violet.froga.net> <[🔎] BANLkTin5phxwp3HytQJUBYTf=0p+Jy4H0g@mail.gmail.com>

El día 13 de abril de 2011 17:53, Luis Díaz <diazluis2007@gmail.com> escribió:
> saludos a todos!
> gracias a AngeID por esta pendiente del post
> he usado autossh pq permite establecer tuneles ssh persistentes (restablece
> la conexion si esta falla) entre 2 servidores.
> bueno explico.
> pq colocar la base de datos en otro server?
> * varias aplicaciones usando la misma base de datos
> * aislamiento de la base de datos. si una aplicación o sistema falla, la
> base de datos continua online, para el resto de las aplicaciones.
> el comando de autossh es tan simple como:
> autossh -M 2000 root@ip-servidor-db -L 5432:127.0.0.1:5432
> 5432 es el puerto de postgresql
> 2000 es el puerto que usa autossh para chequear la conexion.
> 127.0.0.1 es a donde el trafico local del equipo de la aplicación, va a
> parar en el servidor remoto de base de datos.
> (el comando autossh lo guarde en un archivo y lo mande a ejecutar cuando el
> equipo encienda)
> que me permite hacer esto:
> comunicar la aplicación que esta en el servidor A, con la base de datos que
> esta en el Servidor B (como si ambas estuvieran en el mismo server)
> cual es la lógica de hacer esto.. (parece que me complico la vida):
> * la comunicación es segura (en la red que trabajo casi cualquiera puede
> colocar una portatil y mirar el trafico de la red)
> * la aplicacion se conecta a la base de datos como si esta estubiera en el
> server local
> * no me complico la vida configurando la base de datos para que cifre
> la conexión, (esto me permite usar varios
> tipos de base de datos, sin pelearme con sus configuraciones)
> * configuro la base de datos para que solo acepte conexiones locales osea
> 127.0.0.1 (mas seguro)
>
> bueno... todo esto es nuevo para mi...
> aun me falta hacer mas pruebas (la base de datos me esta pateando ajajajaj
> me falta meterle mano aun a eso)
> cualquier critica, espero que sea constructiva... (cometo errores soy
> humano)
> gracias a todos
>
> Díaz Luis
> http://www.facebook.com/diazluis2007
> User Linux 532223
> progjuegos.com
> TSU Analisis de Sistemas
> Universidad de Carabobo
> Facultad de Odontología
>
>
>
>
> El 13 de abril de 2011 01:49, AngelD <angeld@froga.net> escribió:
>>
>> Tue, 12 Apr 2011, Luis Díaz:
>>
>>> bueno.. quizás me complico.
>>> pero el asunto es que estoy en una red insegura, y como uso ese canal
>>> para comunicar la aplicación con la DB, pensé en ssh.
>>>
>>> * hacia el exterior salgo solo con los puertos estrictamente necesarios.
>>> * uso un framework que me da control de acceso basado en roles.
>>> * la aplicación es segura en lo relacionado a la comunicación con los
>>> usuario (https).
>>> * tengo bien configurada la base de datos.
>>>
>>> y bueno.. el tema es el tunel ssh y creo que lo tengo resulto ;)
>>> mañana voy a realizar pruebas con autossh
>>
>>        ¿Cómo lo has solucionado?, ¿qué has solucionado?. Una explicación
>> del problema y su resolución (ni una cosa ni otra quedaban claras en los
>> anteriores correos), nunca sobra.
>>
>>        Respecto a 'autossh', ¿para qué lo vas a utilizar?. Porque creo es
>> una herramienta cuya utilidad se reduce a casos muy concretos, y que no se
>> debe utilizar para cierto tipo de tareas.
>>
>> --
>>        Saludos --- Angel
>

Sigo sin encontrarle sentido a lo que haz hecho o lo que quieres hacer
puesto que, en el caso que menciona que cualquiera puede conectar un
equipo y ver la red. Esto para mi se maneja más bien con politicas de
seguridad (Active directory), como un firewall y vland distintas, es
decir, si vos tener una cantidad X de servidores, comeinza primero a
separarla de las maquinas de la red y que solo accedan a ella los
equipos que deben y con los controles por firewall necesarios.

Nota: para estos casos es muy bueno explicar bien:

1) Como esta la red
2) cuantos servidores tienes
3) cuantos usuarios y equipos hay.

La idea es poder crear una idea tipo plano de nuestra red y poder
organizar y aplicar cosas de manera coherente, NO es una critica el
pasar lo que quieres por tunneling ssh puesto que es logico querer
asegurar más la comunicación que va hacia la base, pero creo que no es
la soluion.

Saluos Cordiales.
-- 
--------------------------------------------
Roberto Quiñones

Owner - Service Manager and System
ACShell.NET – Internet Services
roberto@acshell.net - www.acshell.net
San Martin #311 Santiago – CL (Chile)
+560981361713
--------------------------------------------

Reply to:

References:
- [OT] tunel ssh entre 2 servidores
  - From: Luis Díaz <diazluis2007@gmail.com>
- Re: [OT] tunel ssh entre 2 servidores
  - From: CHACO <diego.chacon@gmail.com>
- Re: [OT] tunel ssh entre 2 servidores
  - From: Luis Díaz <diazluis2007@gmail.com>
- Re: [OT] tunel ssh entre 2 servidores
  - From: AngelD <angeld@froga.net>
- Re: [OT] tunel ssh entre 2 servidores
  - From: Luis Díaz <diazluis2007@gmail.com>

Prev by Date: Re: dudas sobre dos aplicaciones concurrentes en un mismo server (squid)
Next by Date: Re: Abuso de poder de Admin de lista pgsql-es-ayuda@postgresql.org
Previous by thread: Re: [OT] tunel ssh entre 2 servidores
Next by thread: Re: [OT] tunel ssh entre 2 servidores
Index(es):
- Date
- Thread