Re: OT: Acceso remoto por túnel SSH a través de proxy
2012/11/20 Federico Alberto Sayd <fsayd@uncu.edu.ar>:
> On 20/11/12 12:01, Javier Argentina wrote:
>>
>> El día 20 de noviembre de 2012 10:33, Federico Alberto Sayd
>> <fsayd@uncu.edu.ar> escribió:
>>>
>>> On 20/11/12 09:47, Javier Argentina wrote:
>>>>
>>>> Estimados:
>>>>
>>>> Este correo debería llamares "el proxy empresario vs. JAP", round 3.
>>>> Si buscan el historial, verán que ya he tocado el tema del proxy, y
>>>> hasta ahora la vengo apechugando más o menos bien.
>>>> Lo del "OT", va porque no es específico Debian.
>>>>
>>>> Me han metido en mi trabajo un proxy que sólo tiene habilitado los
>>>> puertos 80 UDP HTTP y 8080 TCP HTTP Proxy.
>>>> Quiero acceder a una máquina externa a través de ssh, y se me ha
>>>> complicado la cosa.
>>>> He intentado con corkscrew, y no he tenido suerte, además de ser poco
>>>> manejable.
>>>> He intentado con proxytunnel, y tampoco.
>>>> Sobre todo este último, y creo que corkscrew también, utilizan el
>>>> puerto 443 TCP HttpS para acceder como SSL al anfitrión, y es un
>>>> puerto que tampoco está abierto.
>>>> Tengo intenciones de hacer los siguiente, y antes de hacerlo, escucho
>>>> sugerencias, dado que la máquina a la que debo acceder está un poco
>>>> lejos, y sólo la veo los fines de semana.
>>>> No quiero echar a perder el sistema a la distancia.
>>>> Lo extraño del caso, es que el proxy me deja acceder a páginas https
>>>> sin inconvenientes.
>>>
>>> No debería ser extraño, cualquier proxy decente debería poder manejar
>>> peticiones https
>>>
>>>> Asumo que es por lo mal configurado que está, y, como ejemplo, cuando
>>>> una accede a Facebook, en realidad lo hace a un http que lo
>>>> redirecciona a una IP que está bajo https.
>>>> Lo de mal configurado el proxy, es porque las páginas están bloqueadas
>>>> por dirección; si uno las accede por IP, pasa como por un tubo sin
>>>> inconvenientes.
>>>
>>> No veo por qué está mal configurado, en este caso seguramente el proxy
>>> bloquea a través de una expresión regular que coincide con el nombre del
>>> hosts. Imaginate que bloquear por ip sería toda una odisea, cómo sabes a
>>> ciencia cierta cuales son los ip's de Facebook, y si lo sabes, qué
>>> posibilidades hay de que cambien en el corto plazo? Seguramente será
>>> posible
>>> hacer acl's por ip pero no me imagino lo que debe costar mantener este
>>> tipo
>>> de acl's actualizadas.
>>>
>>>> Aclaro que si tengo una máquina sin proxy, el acceso remoto es
>>>> impecable.
>>>>
>>>> La primer pregunta:
>>>> ¿Hay alguna forma de hacer que la máquina remota responda por el
>>>> puerto 80, y mediante algún artilugio, que me encamine a un túnel ssh?
>>>
>>> Seguramente sí
>>>
>>>> La segunda pregunta:
>>>> Se me ocurrió habilitar en el anfitrión como escucha para ssh el
>>>> puerto 80 (y si falla, el 8080), en lugar del que actualmente tengo
>>>> habilitado.
>>>
>>> Puedes hacerlo perfectamente, solo deberás asegurarte de que el tráfico
>>> que
>>> llegue a dicho puerto sea ssh y no http
>>>
>>>> Antes de eso, debo desactivar apache2, lo que no me causa
>>>> inconvenientes.
>>>> ¿Tendría posibilidades de éxito? Mi teoría dice que sí, pues es
>>>> cambiar el puerto de acceso a ssh.
>>>> ¿No estaría metiendo la pata haciendo algo irremediable?
>>>> Pasa que no sé si el puerto 80 sirve para otra cosa o embarra algo más.
>>>
>>> El puerto 80 es un número más, ahora que se utilice por convención para
>>> mandar tráfico http es otra cosa. Lo que no quita que pongas a escuchar
>>> en
>>> ese puerto el programa que se te ocurra.
>>>
>>>> Nunca me he metido con puertos de la lista estándar que son en teoría
>>>> para otro menester. Cuando uso puertos para mis cosas, utilizo
>>>> aquellos que no están en la "tablita".
>>>
>>> No habrá problema, solo tendrás que tener en cuenta que por razones
>>> "históricas" y de "seguridad" solo una aplicación lanzada por el usuario
>>> root puede escuchar en los llamados "puertos conocidos", o sea, por
>>> debajo
>>> de 1024
>>>
>>>> Escucho ofertas. Muchas gracias.
>>>>
>>>> JAP
>>>>
>>>>
>>> Saludos
>>>
>> He fracasado con todo éxito.
>> Redirigí los puertos, y la cosa la hice bien, pues puedo acceder a la
>> máquina remota desde una internet sin proxy, o sea, desde mi celular,
>> utilizando el puerto 80.
>> Pero el proxy de la empresa no me deja ingresar, por más que ssh está
>> escuchando en el puerto 80, que teóricamente está habilitado.
>
> El problema es que el proxy de tu empresa de seguro no redirige tráfico ssh,
> a menos que sea un proxy socks o algo asi que lo dudo. Por eso lo más lógico
> sería encapsular el tráfico ssh en http.
>
> http://dag.wieers.com/howto/ssh-http-tunneling/
>
>
>
>>
>> Seguiré con otras alternativas.
>>
>> Muchas gracias
>>
>> JAP
>>
>>
> Saludos
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive: [🔎] 50ABA62A.6070602@uncu.edu.ar">http://lists.debian.org/[🔎] 50ABA62A.6070602@uncu.edu.ar
>
¿Porque no utilizas un servidor ssh web? Yo tenia un problema similar
al tuyo y esa fue la mejor solucion. Instalas el server, configuras
apache y entonces con un navegador web accedes al url y dentro de la
pagina web tienes una terminal.
--
ItZtLi
Reply to: