[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: Acceso remoto por túnel SSH a través de proxy



On 20/11/12 12:01, Javier Argentina wrote:
El día 20 de noviembre de 2012 10:33, Federico Alberto Sayd
<fsayd@uncu.edu.ar>  escribió:
On 20/11/12 09:47, Javier Argentina wrote:
Estimados:

Este correo debería llamares "el proxy empresario vs. JAP", round 3.
Si buscan el historial, verán que ya he tocado el tema del proxy, y
hasta ahora la vengo apechugando más o menos bien.
Lo del "OT", va porque no es específico Debian.

Me han metido en mi trabajo un proxy que sólo tiene habilitado los
puertos 80 UDP HTTP y 8080 TCP HTTP Proxy.
Quiero acceder a una máquina externa a través de ssh, y se me ha
complicado la cosa.
He intentado con corkscrew, y no he tenido suerte, además de ser poco
manejable.
He intentado con proxytunnel, y tampoco.
Sobre todo este último, y creo que corkscrew también, utilizan el
puerto 443 TCP HttpS para acceder como SSL al anfitrión, y es un
puerto que tampoco está abierto.
Tengo intenciones de hacer los siguiente, y antes de hacerlo, escucho
sugerencias, dado que la máquina a la que debo acceder está un poco
lejos, y sólo la veo los fines de semana.
No quiero echar a perder el sistema a la distancia.
Lo extraño del caso, es que el proxy me deja acceder a páginas https
sin inconvenientes.
No debería ser extraño, cualquier proxy decente debería poder manejar
peticiones https

Asumo que es por lo mal configurado que está, y, como ejemplo, cuando
una accede a Facebook, en realidad lo hace a un http que lo
redirecciona a una IP que está bajo https.
Lo de mal configurado el proxy, es porque las páginas están bloqueadas
por dirección; si uno las accede por IP, pasa como por un tubo sin
inconvenientes.
No veo por qué está mal configurado, en este caso seguramente el proxy
bloquea a través de una expresión regular que coincide con el nombre del
hosts. Imaginate que bloquear por ip sería toda una odisea, cómo sabes a
ciencia cierta cuales son los ip's de Facebook, y si lo sabes, qué
posibilidades hay de que cambien en el corto plazo? Seguramente será posible
hacer acl's por ip pero no me imagino lo que debe costar mantener este tipo
de acl's actualizadas.

Aclaro que si tengo una máquina sin proxy, el acceso remoto es impecable.

La primer pregunta:
¿Hay alguna forma de hacer que la máquina remota responda por el
puerto 80, y mediante algún artilugio, que me encamine a un túnel ssh?
Seguramente sí

La segunda pregunta:
Se me ocurrió habilitar en el anfitrión como escucha para ssh el
puerto 80 (y si falla, el 8080), en lugar del que actualmente tengo
habilitado.
Puedes hacerlo perfectamente, solo deberás asegurarte de que el tráfico que
llegue a dicho puerto sea ssh y no http

Antes de eso, debo desactivar apache2, lo que no me causa inconvenientes.
¿Tendría posibilidades de éxito? Mi teoría dice que sí, pues es
cambiar el puerto de acceso a ssh.
¿No estaría metiendo la pata haciendo algo irremediable?
Pasa que no sé si el puerto 80 sirve para otra cosa o embarra algo más.
El puerto 80 es un número más, ahora que se utilice por convención para
mandar tráfico http es otra cosa. Lo que no quita que pongas a escuchar en
ese puerto el programa que se te ocurra.

Nunca me he metido con puertos de la lista estándar que son en teoría
para otro menester. Cuando uso puertos para mis cosas, utilizo
aquellos que no están en la "tablita".
No habrá problema, solo tendrás que tener en cuenta que por razones
"históricas" y de "seguridad" solo una aplicación lanzada por el usuario
root puede escuchar en los llamados "puertos conocidos", o sea, por debajo
de 1024

Escucho ofertas. Muchas gracias.

JAP


Saludos

He fracasado con todo éxito.
Redirigí los puertos, y la cosa la hice bien, pues puedo acceder a la
máquina remota desde una internet sin proxy, o sea, desde mi celular,
utilizando el puerto 80.
Pero el proxy de la empresa no me deja ingresar, por más que ssh está
escuchando en el puerto 80, que teóricamente está habilitado.
El problema es que el proxy de tu empresa de seguro no redirige tráfico ssh, a menos que sea un proxy socks o algo asi que lo dudo. Por eso lo más lógico sería encapsular el tráfico ssh en http.

http://dag.wieers.com/howto/ssh-http-tunneling/



Seguiré con otras alternativas.

Muchas gracias

JAP


Saludos


Reply to: