Re: SSH Tunneling
El día 12 de septiembre de 2012 13:31, Ramses
<ramses.sevilla@gmail.com> escribió:
> Buenas,
>
> El 12/09/2012, a las 17:40, Josué Marrero Bermúdez <inf@zetihl.azcuba.cu> escribió:
>
>> mandame eso al privado, reviso y te digo si funciona
>>
>
> Mejor, ponlo por aquí y lo probamos todos...
>
>
> Saludos,
>
> Ramses
Hola
Está levemente modificado porque "Chapulin" es un servidor SME, así
que van a encontrar referencias a paths completos, retocados para que
se ajusten a Debian. la pc en 192.168.0.251 es un servidor de
terminales Windows.
También se asume que el técnico tiene acceso a ambas máquinas, que
todos los usuarios remotos pueden usar el túnel, que los usuarios no
pueden loguearse por ssh, salvo root, y que no se permite el logueo
ssh por contraseña.
Configuración del Túnel en máquinas Debian
Contenido
Chapulin es el servidor con acceso a internet que brinda el servicio ssh
En las instrucciones siguientes reemplazar "usuario del túnel" por el
nombre del usuario que va a generar el túnel a través de Chapulin, "IP
maquina remota" por la dirección IP de la máquina remota e "IP de
Chapulin" por la dirección IP del Chapulin.
En Chapulin :
* Verificar que exista el usuario "usuario del túnel" en Chapulin
y crearlo si no existe.
En la máquina remota:
* Abrir una terminal del usuario del túnel
* Generar clave para el usuario del túnel con ssh-keygen.
* No ponerle contraseña a la clave.
* La clave queda guardada en "/home/usuario del túnel/.ssh"
* Copiar "/home/usuario del túnel/.ssh/id_rsa.pub" en
"//chapulin/home/usuario del túnel"
En Chapulin (conectado por ssh como root):
* Hacer cd "/home/usuario del túnel"
* Hacer cp /home/usuario del túnel/.id_rsa.pub ./.ssh/authorized_keys
* Hacer chown "usuario del túnel":"usuario del túnel"
./.ssh/authorized_keys
* Hacer chmod 644 ./.ssh/authorized_keys
* Hacer rm ./home/id_rsa.pub
En la máquina remota:
* Abrir una terminal de root
* Instalar autossh.
apt-get update
apt-get install autossh
* Desde la terminal de root editar "/etc/ssh/ssh_config" y "/etc/rc.local"
* Agregar a "/etc/ssh/ssh_config"
Host "IP de chapulin"
GatewayPorts=yes
IdentityFile=/home/usuario del túnel/.ssh/id_rsa
LocalForward="IP maquina remota":3389 192.168.0.251:3389
LogLevel=DEBUG
ServerAliveInterval=10
User=usuario del túnel
* Agregar a "/etc/rc.local" justo antes de la línea que dice "exit 0"
ID=usuario del túnel
HOST="IP de chapulin"
AUTOSSH_POLL=60
AUTOSSH_PORT=0
AUTOSSH_GATETIME=0
AUTOSSH_LOGFILE=/var/$HOST.log
AUTOSSH_DEBUG=yes
AUTOSSH_LOGLEVEL=7
AUTOSSH_PATH=/usr/bin/ssh
export AUTOSSH_POLL AUTOSSH_LOGFILE AUTOSSH_DEBUG AUTOSSH_LOGLEVEL
AUTOSSH_PATH AUTOSSH_GATETIME AUTOSSH_PORT
/usr/bin/autossh -fN ${ID}@${HOST}
* Desde la terminal del usuario del túnel ejecutar 'ssh "IP de
chapulin"' y aceptar la identificación del servidor.
* Reiniciar la pc y verificar el túnel.
Espero que no me peguen demasiado.
Les pido que recuerden que la seguridad interna no está tenida en
cuenta y por eso están muchas de las cosas que no les van a gustar a
los que administran sitios grandes.
Sean amables :-)
Mas allá de eso, este túnel me está resultando muy confiable. Si las
máquinas están prendidas y conectadas a internet, el túnel está
funcionando. Siempre.
Ojalá les sirva.
Un abrazo.
--
Jorge A Secreto
Analista de Sistemas
MP 361
Reply to: