View previous topic :: View next topic |
Author |
Message |
colito Guru
Joined: 03 Aug 2004 Posts: 569 Location: france (NIORT)
|
Posted: Thu May 12, 2005 3:30 pm Post subject: [tunelling] encapsulation ssh dans http |
|
|
Bonjour,
J'ai un peu avancé dans mes recherches pour arriver à faire passer du ssh à travers un firewall qui ne laisse passer que le http. Il semble qu'il faille encapsuler le ssh dans des trames http afin de leurrer le firewall. Pour ce faire, l'outil magique semble s'appeler httptunnel, qui est capable de faire exactement ce genre de choses.
Je me pose cependant une question, après avoir lu l'excellent tuto de S[/url]cout à propos du ssh https://forums.gentoo.org/viewtopic-t-281671-highnslight-ssh.html
Est-il possible d'utiliser ce que Scout nous décrit pour faire ce genre de choses?
J'avoue que mes connaissances en réseau ne me permettent pas d répondre à cette question...
Merci d'avance! |
|
Back to top |
|
|
gim Guru
Joined: 29 Apr 2003 Posts: 418 Location: milky-way
|
Posted: Thu May 12, 2005 6:44 pm Post subject: |
|
|
Le firewall ne laisse passer que les comunication sur le port 80, ou bien il vérifie en plus que la comunication correspond à une communication http ? (Il y a de grandes chances pour qu'il ne fasse pas attention à ce qui passe).
La soluce dans le cas favorable serait de faire en sorte que le sshd en question écoute sur le port 80 (ou bien de rediriger en local le port 80 vers le port 22). Et de faire de l'autre coté un ssh user@host:80.
Mais tu peux peut être nous en dire plus sur l'agencement des machines et du firewall, dans quel sens et sur quel ports les communications tcp/udp ne passent pas, et de quel coté se trouve le serveur sshd. |
|
Back to top |
|
|
voltairien Tux's lil' helper
Joined: 24 Apr 2004 Posts: 123
|
Posted: Thu May 12, 2005 7:50 pm Post subject: Re: [tunelling] encapsulation ssh dans http |
|
|
colito wrote: | Bonjour,
J'ai un peu avancé dans mes recherches pour arriver à faire passer du ssh à travers un firewall qui ne laisse passer que le http. Il semble qu'il faille encapsuler le ssh dans des trames http afin de leurrer le firewall. Pour ce faire, l'outil magique semble s'appeler httptunnel, qui est capable de faire exactement ce genre de choses.
Je me pose cependant une question, après avoir lu l'excellent tuto de S[/url]cout à propos du ssh https://forums.gentoo.org/viewtopic-t-281671-highnslight-ssh.html
Est-il possible d'utiliser ce que Scout nous décrit pour faire ce genre de choses?
J'avoue que mes connaissances en réseau ne me permettent pas d répondre à cette question...
Merci d'avance! |
L'idée du tunneling SSH dans HTTP, c'est de récuperer la main sur une machine distance et DE LA, y faire tout ce que tu veux. Pourquoi alors vouloir encore refaire passer qqch dans le tunnel SSH ? Tu compliques ... (ou alors du X11 ?)
l'idée du tunneling HTTP est d'y faire passer n'importe quoi. Bien entendu le plus intéressant dans ce n'importe quoi, c'est du SSH :
http://www.nocrew.org/software/httptunnel/faq.html
Exemple de la FAQ :
Code: | Q: How do I get this going through a proxy?
A:
On the server you must run hts. If I wanted to have port 80 (http) redirect all traffic to port 23 (telnet) then it would go something like:
hts -F server.test.com:23 80
On the client you would run htc. If you are going through a proxy, the -P option is needed,otherwise omit it.
htc -P proxy.corp.com:80 -F 22 server.test.com:80
Then telnet localhost and it will redirect the traffic out to port 80 on the proxy server and on to port 80 of the server, then to port 23.
|
Du telnet ?... non bien sur quelle idée (d'ailleurs il y a erreur dans leur FAQ, car ils ont écrit -F 22 ... ), même chose en SSH. Ensuite tu as la main sur une machine qui n'est plus soumise au firewall puisque tout passe dans le tunel HTTP.
Pour répondre a GIM : Je suppose qu'il y a proxy HTTP (SPI) donc option -P, sinon pas d'option -P.
V. _________________ [Les Mechants] Voltairien |
|
Back to top |
|
|
colito Guru
Joined: 03 Aug 2004 Posts: 569 Location: france (NIORT)
|
Posted: Thu May 12, 2005 10:11 pm Post subject: |
|
|
Bah en fait voilà le principe: j'ai mis un serveur ssh sur ma machine à la maison. Je voudrais pouvoir y accéder du boulot mais dans ma boite, il y a un firewall qui filtre non seulement les ports (en l'occurence, y'a que le 80 d'ouvert), mais en plus les protocoles: y'a donc que le http sur le port 80 qui passe en sortant.
D'où mon idée d'encapsuler mon ssh dans des trames http pour me connecter chez moi depuis le boulot...je pense que c'et le seul moyen de berner ce foutu firewall...
Je sais de plus que les admins ne scannent que le début des trames. Ils regardent donc si c'est du http et si c'en est, ils ne cherchent pas ce qu'il y a dans les trames. Le crime est donc parfait avec cette methode. D'où l'idée d'http tunnel...C'est clair que sinon, j'avais juste à changer le port ssh, mais malheureusement, c'est pas aussi simple:oops:
C'est pour ça que je voulais savoir si le howto de scout pouvait être utilisable dans mon cas...
Merci en tous cas pour vos réponses! |
|
Back to top |
|
|
scout Veteran
Joined: 08 Mar 2003 Posts: 1991 Location: France, Paris en Semaine / Metz le W-E
|
Posted: Thu May 12, 2005 10:58 pm Post subject: |
|
|
Essayes ça:
Code: | * net-misc/corkscrew [ Masked ]
Latest version available: 2.0
Latest version installed: [ Not Installed ]
Size of downloaded files: 55 kB
Homepage: http://www.agroman.net/corkscrew/
Description: Corkscrew is a tool for tunneling SSH through HTTP proxies.
License: GPL-2 |
(la configuration est expliquée dans le README) _________________ http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse |
|
Back to top |
|
|
colito Guru
Joined: 03 Aug 2004 Posts: 569 Location: france (NIORT)
|
Posted: Fri May 13, 2005 9:13 am Post subject: |
|
|
yes, merci à toi scout! |
|
Back to top |
|
|
scout Veteran
Joined: 08 Mar 2003 Posts: 1991 Location: France, Paris en Semaine / Metz le W-E
|
|
Back to top |
|
|
colito Guru
Joined: 03 Aug 2004 Posts: 569 Location: france (NIORT)
|
Posted: Fri May 13, 2005 1:03 pm Post subject: |
|
|
Bah disons que je peux pas tester la chose ces jours-ci, tout simplement parce que ma superbe geforce 6800GT toute neuve m'a claqué dans les doigts hier soi en pleine partie de World Of Warcraft...En conséquence, mon ordi marche vachement moins bien sans carte graphique, et je ne vais pas pouvoir tester la chose avant quelques jours, le temps du retour SAV...
Mais bon, si tu y tiens je peux le passer en résolu, et j'ouvrirai éventuellement un autre post quand j'aurai de quoi tester la chose! |
|
Back to top |
|
|
scout Veteran
Joined: 08 Mar 2003 Posts: 1991 Location: France, Paris en Semaine / Metz le W-E
|
Posted: Fri May 13, 2005 3:00 pm Post subject: |
|
|
colito wrote: | et je ne vais pas pouvoir tester la chose avant quelques jours, le temps du retour SAV...
Mais bon, si tu y tiens je peux le passer en résolu, et j'ouvrirai éventuellement un autre post quand j'aurai de quoi tester la chose! |
Non, no problem, c'est juste que je croyais que le "merci scout" voulait dire "j'ai tout testé et ça marche au poil" (je commençait déja à me dire que j'était trop fort et tout ) et je croyais que t'avais juste oublié de mettre résolu ...
Toutes mes pensées positives sont avec ta carte graphique _________________ http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse |
|
Back to top |
|
|
colito Guru
Joined: 03 Aug 2004 Posts: 569 Location: france (NIORT)
|
Posted: Fri May 13, 2005 3:04 pm Post subject: |
|
|
eh eh merci scout...je crois que je vais me taper une sacrée galère pour mon SAV avec cdiscount...Tes pensées positives ne seront pas de trop! |
|
Back to top |
|
|
|