Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

proxy ssh tunnel ?

Pinky & The Brain
11 antwoorden
  • Hallo,

    Nu zit ik in de volgende situatie :

    De komende maanden zit ik op 2 locaties van waaruit ik alleen een internet verbinding heb via proxy.

    Locatie 1 heeft een proxy op poort 8080.
    Met enkele instellingen kun je probleemloos gaim via die proxy laten lopen.
    Echter rechtstreeks ssh'en naar mijn thuis servertje is me nog niet gelukt.

    Locatie 2 heeft een proxy + firewall en voorzover ik kan nagaan alles dicht behalve internetverkeer via internetexplorer (firefox wil niet eens).
    Zaken als ssh (putty), gaim, etc. werken hier niet.

    Nu mag ik wel een tunnel opbouwen naar mijn eigen servertje om vanuit daar mijn programma's te laten werken.
    Voor locatie 1 zou dit kunnen werken, maar locatie 2 waarschijnlijk niet hé ?
    Of zou ik ook die tunnel door de proxypoort voor internet kunnen laten gaan ?
    Het is volgens mij squid, dus poort 3128 geloof ik ?

    Na enkele documentatie te hebben doorworstelt kom ik tot de conclusie dat het in de situatie van locatie 2 mij niet verder gaat helpen, maar het lijkt me wel erg handige functionaliteit om als ik eens ergens anders ben toch (veilig) enkele zaken kan doen.
    Daarom wil ik hier eens mee gaan experimenteren …
    Een proxy opzetten op mijn thuis-servertje … squid b.v. ?
    Moet mijn ssh deamon dan ook op een andere poort gaan draaien ?, want poort 22 zit bijna altijd dicht als je ergens in een vreemd netwerk zit.
  • Webmin? Of ssh via java?
  • [quote:0acf2a1c0f="MrLeeJohn"]Webmin? Of ssh via java?[/quote:0acf2a1c0f]
    Eh, sorry … volgens mij begrijp ik je hier niet …

    Om in de toekomst de eerder geschetste problemen te voorkomen wil ik graag proberen een thuisservertje zo in te richten dat ik deze kan gebruiken als proxy m.b.v. ssh.
    De thuisserver draait linux met ssh momenteel, daar zal dan nog een proxy op moeten worden geconfigureerd.
    Als ik dan ergens kom waar via de proxy alleen een internet poort open staat zou ik deze dus moeten kunnen gebruiken om te tunnelen.

    Wat webmin of ssh via java hier mee van doen heeft weet ik niet, maar ik hoor het graag :-).
  • Ik denk dat ik je nu een beetje meer snap. Alleen is je wens wat vreemd. Wat wil je er uiteindelijk mee bereiken?

    Een online-proxy, zoals proxify.net of duizend anderen maken (terwijl die er al zijn dus)? Als je ssh (getunneld of niet) kunt gebruiken zit je al op een tollerante werkplek. En kun je niet aan ssh, dan is webmin of een ssh via java handig.

    En een tunnel via ssh opzetten voor een http-proxy? Leuke oefening, maar verder zie ik geen nut… Dingen als een mail-proxy… ja, leuk, maar dat doe je tegenwoordig webbased. Toch?

    Of mis ik iets?
  • [quote:08dc707cc3="MrLeeJohn"]Ik denk dat ik je nu een beetje meer snap. Alleen is je wens wat vreemd. Wat wil je er uiteindelijk mee bereiken?
    [/quote:08dc707cc3]
    Sorry $, misschien zette ik je door mijn onduidelijke schrijven op het verkeerde spoor.
    Wat ik eigelijk wil zijn 2 dingen.
    De mogelijkheid om via ssh op mijn servertje te komen.
    Daarnaast graag een mogelijkheid om bepaalde programma's naar de proxy te redirecten zodat bepaalde applicaties die een poort gebruiken welke zijn geblokkeerd als nog via een ssh tunnel te gebruiken zijn.
    [quote:08dc707cc3]
    Een online-proxy, zoals proxify.net of duizend anderen maken (terwijl die er al zijn dus)? Als je ssh (getunneld of niet) kunt gebruiken zit je al op een tollerante werkplek. En kun je niet aan ssh, dan is webmin of een ssh via java handig.
    [/quote:08dc707cc3]
    Het is niet de bedoeling om een anonieme proxy op te zetten o.i.d., puur een mogelijkheid creëeren om bepaalde diensten op mijn server te benaderen of via mijn server, andere diensten elders.
    [quote:08dc707cc3]
    En een tunnel via ssh opzetten voor een http-proxy? Leuke oefening, maar verder zie ik geen nut… Dingen als een mail-proxy… ja, leuk, maar dat doe je tegenwoordig webbased. Toch?

    Of mis ik iets?[/quote:08dc707cc3]
    Was het werkelijk zo ver uit de richting ? :oops:
    Tja, voor experts zal dit misschien dom lijken, maar ik dacht dat het een mooie veilige oplossing zou zijn …
    Webbased mijn server beheren begin ik voorlopig echter niet aan en webmail heb ik in overweging, maar dat had ik eigelijk min of meer al geschrapt omdat ik binnenkort mijn mailserver in een imap server verander.
  • Okeeej….

    Als je niet aan ssh kunt en toch beheer wilt doen is webmin ideaal. Webbased, gui-achtig, veilig met webbased telnet/ssh. Maar het volgende verhaal is idd ook een mogelijkheid.

    Als bepaalde services niet toegankelijk zijn blijft ssh-tunneling wel steeds maatwerk. Je kunt wel een soort mal maken; als je 1 keer een service getunneld hebt, is een volgende niet erg moeilijk. Maarrrrr… het kan veel handiger… redirect/forward. Stel je wilt ftp, maar het mag niet. Wel telnet. Forward dan op je router poort 23 binnen naar 21 buiten. Zijn 2 opties…. ssh-tunnel (lees de (lastige) howto) of forwarding
    edirect.
  • [quote:7f1b5ebf68="MrLeeJohn"]Okeeej….

    Als je niet aan ssh kunt en toch beheer wilt doen is webmin ideaal. Webbased, gui-achtig, veilig met webbased telnet/ssh. Maar het volgende verhaal is idd ook een mogelijkheid.

    Als bepaalde services niet toegankelijk zijn blijft ssh-tunneling wel steeds maatwerk. Je kunt wel een soort mal maken; als je 1 keer een service getunneld hebt, is een volgende niet erg moeilijk. Maarrrrr… het kan veel handiger… redirect/forward. Stel je wilt ftp, maar het mag niet. Wel telnet. Forward dan op je router poort 23 binnen naar 21 buiten. Zijn 2 opties…. ssh-tunnel (lees de (lastige) howto) of forwarding
    edirect.[/quote:7f1b5ebf68]
    Natuurlijk zou webmin een optie zijn, alleen ik draai liever niet te veel 'onnodige diensten' en heb bij zaken als webmin het gevoel dat je controle verliest, daarnaast is het ook weer een extra risico.
    Die ssh tunnel howto had ik gevonden alsook enkele tutorials, momenteel ben ik de doc's van squid aan het doorlezen.
    De forwarding truc die je noemt gaat in beide gevallen volgens mij niet werken, omdat de proxy's slechts 1 poort toestaan, voor internet verkeer.

    Het leuke van de ssh tunnel is dat je veel zaken secure kunt doen en ik raakte hier mede in geintereseerd omdat ik van plan was om een secure-crossplatform-communicatie programma'tje te maken (ha ha, een hele mond vol :lol:).
    Gewoon om ervaring op te doen met crossplatform, secure verbindingen en concurrent technieken.
    Dan leek me wat ervaring met ssh tunneling ook wel handig en zodoende kwam ik dus ook op het idee om van andere locaties op die mannier contact te leggen met een geprepareerde server.
  • > Natuurlijk zou webmin een optie zijn, alleen ik draai liever niet te veel 'onnodige diensten' en heb bij zaken als webmin het gevoel dat je controle verliest, daarnaast is het ook weer een extra risico.

    Heb je ook helemaal gelijk in. En de ssh via een java-applet?

    > De forwarding truc die je noemt gaat in beide gevallen volgens mij niet werken, omdat de proxy's slechts 1 poort toestaan, voor internet verkeer.

    Ik heb het niet gehad over een proxy!

    > Het leuke van de ssh tunnel is dat je veel zaken secure kunt doen en ik raakte hier mede in geintereseerd omdat ik van plan was om een secure-crossplatform-communicatie programma'tje te maken (ha ha, een hele mond vol ).

    Ook als een gedacht aan een VPN?

    > Gewoon om ervaring op te doen met crossplatform, secure verbindingen en concurrent technieken.

    Probeer het dan allemaal. Of lees je in allen in en kies er een paar.

    > Dan leek me wat ervaring met ssh tunneling ook wel handig en zodoende kwam ik dus ook op het idee om van andere locaties op die mannier contact te leggen met een geprepareerde server.

    Is ook leuk. Als je tijd zat hebt.
  • Als je Putty gebruikt kun je je user credentials invullen om op de proxyserver te komen. Je kunt dan ook aangeven dat je verbinding wilt maken via poort 80.

    Prik thuis een gaatje in je firewall voor het IP-adres van de firewall op je werk (van alle IP-adressen waar vanaf jij naar binnen wilt), en sta van die IP-adressen alleen SSH verkeer toe.

    Maak op je privé-netwerk een DMZ en zorg ervoor dat je van buitenaf niet verder dan je DMZ kunt komen. (Better safe than sorry).

    Greetz, dJezzer 8)
  • [quote:f94636e247="MrLeeJohn"]
    Ook als een gedacht aan een VPN?
    [/quote:f94636e247]
    Enkele jaren terug ben ik er eens mee bezig geweest, maar heb dat toen nooit echt doorgezet … vpn is niet helemaal het middel voor dit probleem en ssh is daarnaast ook wat flexibeler.

    [quote:f94636e247]
    > Dan leek me wat ervaring met ssh tunneling ook wel handig en zodoende kwam ik dus ook op het idee om van andere locaties op die mannier contact te leggen met een geprepareerde server.

    Is ook leuk. Als je tijd zat hebt.[/quote:f94636e247]
    Tja … en daar zit hem nou net de kneep … het is niet voor niets dat ik zo laat met deze reactie kom.
    In de weinige tijd die je kunt vrij maken heb ja altijd nog de onvoorziene gevallen (zoals de stroomstoring van afgelopen week welke me veel computerproblemen heeft opgelevert :evil:) welke een hogere prioriteit genieten.
    Toch zullen we er wanneer de tijd het toelaat de nodige aandacht aan besteden, het lijkt me een leuk project voor in de (nabije) toekomst.

    [quote:f94636e247="djezzer"]
    Als je Putty gebruikt kun je je user credentials invullen om op de proxyserver te komen. Je kunt dan ook aangeven dat je verbinding wilt maken via poort 80.

    Prik thuis een gaatje in je firewall voor het IP-adres van de firewall op je werk (van alle IP-adressen waar vanaf jij naar binnen wilt), en sta van die IP-adressen alleen SSH verkeer toe.

    Maak op je privé-netwerk een DMZ en zorg ervoor dat je van buitenaf niet verder dan je DMZ kunt komen. (Better safe than sorry).

    Greetz, dJezzer
    [/quote:f94636e247]
    Op zich heb je gelijk, maar als het zo makkelijk was, dan was ik geen ssh tunnel nodig ;).
    Volgens mij wordt er op content gefilterd, nu weet ik niet hoe ze dat noemen, maar dan kijken ze naar de pakketjes die worden verstuurd en alleen pakketjes met met een bepaalde phrase hebben toestemming om te worden verzonden, de rest wordt geblocked.

    Het zou dus vanav 1 locatie kunnen werken, maar bij de andere zeker niet.
    We zullen het volgende week wel merken :).
  • Dat is het leuke van content-filtering, omdat het een ssh-tunnel is kan de filtering daar niet in kijken. In principe zou het dus door moeten gaan. Je kunt dit volgens mij (corrigeer mij als ik er naast zit) vergelijken met https, dat is ook een secure protocol. Hierbij wordt verbinding gemaakt vanaf de desktop door de firewall heen met een internetsite.

    Wat mij op het volgende idee brengt. Kun je je adminpage niet beschikbaar stellen via https en beschermen met een userid-wachtwoord constructie? Als je hiervoor een minimale webserver activeert kun je alle kanten op :)

    Greetz, dJezzer 8)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.