подскажите можно ли чем либо строить тунель используя ssl на машинку?
Это надо на случай если есть доступ в инет только по 80 443 портам через прокси, есть необходимость зацепица за роутер и дальше ходить уже куда хочешь
Junior Member
stunnel + srelay - туннелирование через SSL
подскажите можно ли чем либо строить тунель используя ssl на машинку?
Это надо на случай если есть доступ в инет только по 80 443 портам через прокси, есть необходимость зацепица за роутер и дальше ходить уже куда хочешь
Member
иCode:dropbear -p 443
http://wl500g.info/showthread.php?t=12833
Member
Или
PHP Code:$ ipkg list | grep stunnel
stunnel - 4.25-3 - SSL encryption wrapper for all kinds of servers
Junior Member
openvpn на 433 порту решает.
Junior Member
я так и сделал. На рутере запущен socks-сервер (srelay) слушающий на localhost, а к нему прицеплен stunnel-сервер, запущенный на 443 порту. С работы запускается stunnel-клиент, и таким образом socks-сервер оказывается на рабочей машине.
Вариант с dropbear -p 443 не работал, потому что ssh handshake отлавливался bluecoat'ом и сессия рвалась. SSL полностью они запретить не могут, потому что тогда никто не сможет ходить по https.
--
sun0s
Senior Member
Прикольные админы. Парятся над ssh handshake, но забывают про software restriction policy, дабы шибко умные юзвери просто не могли запускать stunnel.Originally Posted by sun0s
Junior Member
А можно по-подробнее рассказать о настройке stunnel
Junior Member
Нарушаем запреты с помощью Stunnel и 3proxy.
В этой статье речь пойдет о возможности обхода некоторых ограничений в виде блокирования нежелательных портов и нежелательного трафика,
встречающихся в основном во внутрикорпоративной среде. Сразу предупрежу, что статья написана, как ознакомление, а не призыв к действию и
если вы решите «провернуть» все на практике, то по «шапке» получать именно вам, а не мне, я за ниже изложенное ответственности не несу.
Для реализации нашей идеи нужно установить и настроить Stunnel и 3proxy.
Серверная часть stunnel будет ждать подключение на 443 порту «доверенной зоны» и перенаправлять расшифрованный трафик на интерфейс «петли»
на котором запущен и ждет подключений 3proxy. Клиентская часть stunnel подключается к серверной и гонит весь трафик по защищенному каналу до
3proxy, который, в свою очередь, при успешной аутентификации распределяет этот трафик в нужном нам направлении. Думаю схема понятна.
Серверную часть stunnel я буду устанавливать на беспроводной роутер ASUS WL-500gp v1, прошитый прошивкой «Олега» с подключенной флешкой,
смонтированной в каталог /opt.
Вот подробно - Настройка stunnel и 3proxy
Last edited by Omega; 03-11-2014 at 13:13. Reason: fixed
Junior Member
Спасибо! Буду изучать!
Last edited by Omega; 03-11-2014 at 13:21. Reason: fixed
Senior Member
Установил stunnel согласно инструкции, выполняю ps aux | grep stunnel
Как видно в памяти висит аж 6 процессов stunnel что настораживает.root 229 0.0 1.3 1492 420 pts/2 D+ 22:13 0:00 \_ grep stunnel
nobody 142 0.0 4.7 3164 1432 ? S 21:41 0:00 /opt/sbin/stunnel
nobody 143 0.0 4.7 3164 1432 ? S 21:41 0:00 /opt/sbin/stunnel
nobody 144 0.0 4.7 3164 1432 ? S 21:41 0:00 /opt/sbin/stunnel
nobody 145 0.0 4.7 3164 1432 ? S 21:41 0:00 /opt/sbin/stunnel
nobody 146 0.0 4.7 3164 1432 ? S 21:41 0:00 /opt/sbin/stunnel
nobody 149 0.0 4.8 3164 1456 ? Ss 21:41 0:00 /opt/sbin/stunnel
Делаю netstat -an | grep LISTEN
и не вижу строки с stunnel.tcp 0 0 0.0.0.0:51777 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1026 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:5000 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
unix 2 [ ACC ] STREAM LISTENING 863 /tmp/php-fcgi.sock-0
unix 2 [ ACC ] STREAM LISTENING 894 /tmp/screens/S-p2p/177.rtorrent
Подскажите так и должно быть или где-то нахомутал?
Registered User
Хорошая тема. Спасибо.
Проксю запустили и это здорово, а вот теперь как бы прикрутить + STunnel к этому празднику жизни? Хотелось бы через роутер сделать секьюрный туннель SWAN 2 WAN. Первая мысль приходит это залупить STunnel на localhost, а сквиду в конфе указать брать трафу из localhost залупленого порта STunnelа и так же в обратном направлении. Мысль идёт в верном направлении?
Senior Member
1. Почему при запуске sTunnel в памяти появляется сразу шесть процессов?
2. Как заставить sRelay работать по IPv4?Эту тему видел :-(
Спасибо!
Senior Member
Здравствуйте!
После неудачи sRelay, решил перейти на Nylon. Установил, всё отлично кроме отсутствия авторизации.
Подскажите пожалуйста а как бы так обеспечить какую-нибудь безопасность? так чтобы к sTunnel-серверу нельзя было подключиться без пароля?
Спасибо!
Senior Member
Здравствуйте!
1. Dropbear почему-то очень нагружает процессор во время передачи, что сказывается на скорости. Вероятно, причина в шифровании. Возможно ли его отключить?
2. Пробовал использовать sTunnel[xinetd]+Nylon. Для каждого коннекта в списке "ps" появлялось две дополнительные строчки sTunnel и Nylon. Что негативно сказывается на памяти.
Подскажите пожалуйста решение, которое позволило бы
1. Обеспечить парольный доступ к socks-прокси-серверу (установленном на роутере) извне для нескольких пользователей
2. Раздавать интернет внутри квартиры с высшим приоритетом
Спасибо!
The Last Millenium
Здравствуйте!
Нет, это основа технологии доступа по SSH. Без шифрования работает http, ftp, telnet (но им файл не передать), nfs.
cifs(samba) тоже с шифрованием, но там оно силь понижается опционально, что вредит совместимости.
xinetd так устроен, что на каждое новое подключение он поднимает новый экземпляр службы.
Более того, 80% служб в Linux работают по принципу "каждому потоку по процессу". Таким образом есть один главный процесс и по 1 на каждую задачу (worker process)Попробуйте 2жды по SSH прицепиться.
Однако в нормальном софте (не берем xinetd), рабочие процессы (workers) могут использовать память главного процесса.
1. 99% прокси серверов умеют пароли. Вам надо установить проксик, настроить и открыть порт наружу.
2. Что такое "интернет с высшим приоритетом"? Представьте толпу ломящуюся в маленький узкий турникет метро. Единственный способ пройти идеально - войти через служебный проход. А если обвешаться мигалками, дубинками, пистолетами, то все равно хоть один идиот да полезет первым, парочка пришмыгнет перед вами, парочку вы пристрелите и прийдется кому то убирать трупы, парочка пойдет вместе с вами и будете обтирать стенки турникета.
Так что либо давайте отдельный канал, либо ищите по слову QoS. Но QoS - решение не позволит на 100% использовать канал, либо же будет слишком долго "выделять вам полосу".
Незачто
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
Posting Permissions
Reply With Quote