Èñïîëüçîâàíèå ssh-òóíåëåé äëÿ áåçîïàñíîãî äîñòóïà ê ðåñóðñàì LAN

**ndvikulov** · 17-05-2011, 21:32

Originally Posted by ryzhov_al

Óñòàíàâëèâàéòå íà ðîóòåðå ïðîêñè-ñåðâåð, "ñëóøàþùèé" òîò ïîðò, êîòîðûé óêàçàí êàê destination port â íàñòðîéêàõ ssh-òóííåëÿ â putty.

Èçâèíèòå, íî êàê ýòî ñäåëàòü? Â ýòîì òîïèêå ïðî ïðîêñè íà ðîóòåðå òîæå íè÷åãî íåò

Áåç destination port íå îáîéòèñü âîîáùå? â òîïèêå íà õàáðå åãî ïóñòûì îñòàâëÿëè.

Êàê ÿ ïîíèìàþ, íàäî ïîðò îòêðûòü íà ðîóòåðå, íî ïî÷åìó íåëüçÿ ÷åðåç ïîðò ssh âñ¸ ïåðåäàâàòü?

**Ident** · 17-05-2011, 21:44

Äàâíî ñòîèò WL500g.Premium (ïåðâûé) ñ ðîäíîé ïðîøèâêîé è íèêàêèõ âîïðîñîâ ê ðàáîòå ðîóòåðà íåò.

Íà íåêîòîðûõ âíåøíèõ ðåñóðñàõ ââåäåíà ôèëüòðàöèÿ ïî ip àäðåñó, íî îäíîâðåìåííî ñ ýòèì, äîñòóï ê íèì íàäî ïîëó÷àòü èç ëþáîé òî÷êè Èíòåðíåòà. Âíà÷àëå ðàññìàòðèâàë âàðèàíò óñòàíîâêè ssh ñåðâåðà íà êîìïüþòåðå â ñåòè çà ðîóòåðîì è èñïîëüçîâàíèè òóííåëèðîâàíèÿ. Íî ïîòîì âñïîìíèë, ÷òî â Asus óæå ñòîèò linux, ïîýòîìó ïðîñòàÿ ïåðåáðîñêà òðàôèêà ìîæåò áûòü âûïîëíåíà âîîáùå ïðÿìî íà í¸ì. Íàø¸ë ýòó òåìó, íî âîçíèêëî íåñêîëüêî âîïðîñîâ:

1) Êàêàÿ ïðîøèâêà ëó÷øå, åñëè òðåáóåòñÿ ëèøü NAT äëÿ ëîêàëüíîé ñåòè + ssh òóííåëèðîâàíèå?

2) Òåìà ñîçäàâàëàñü â 2008 ãîäó è ïðåäëàãàëîñü èñïîëüçîâàòü dropbear. ×òî-íèáóäü èçìåíèëîñü çà òðè ãîäà? Ìîæåò áûòü åñòü áîëåå ýôôåêòèâíîå ðåøåíèå?

3) Ïîòÿíåò ëè ñòàíäàðòíûé ðîóòåð îäíîâðåìåííî äåñÿòîê-äâà ssh òóííåëåé (ssh êëèåíò èç âíåøíåãî ìèðà, òóííåëü íà àäðåñîì âî âíåøíåì ìèðå)? Íå áóäåò ëè ïðîáëåì ñ ïîòåðåé ïàêåòîâ, ðàçäà÷åé Èíòåðíåòà âî âíóòðåííþþ ñåòü è ò.ï.? Êàêîå ìîæåò áûòü ïàäåíèå ïðîïóñêíîé ñïîñîáíîñòè?

**ryzhov_al** · 18-05-2011, 06:23

Originally Posted by ndvikulov

Èçâèíèòå, íî êàê ýòî ñäåëàòü?

Íåîáõîäèìî óñòàíîâèòü tinyproxy/3proxy/polipo/squid èëè ëþáîé äðóãîé ïðîêñè-ñåðâåð íà ðîóòåð. Êàê èìåííî - ñìîòðèòå â ïðîôèëüíûõ òåìàõ.

Originally Posted by ndvikulov

Êàê ÿ ïîíèìàþ, íàäî ïîðò îòêðûòü íà ðîóòåðå,

Íåò! Îäíîãî îòêðûòîãî ssh-ïîðòà äîñòàòî÷íî.

Originally Posted by ndvikulov

íî ïî÷åìó íåëüçÿ ÷åðåç ïîðò ssh âñ¸ ïåðåäàâàòü?

Ïîòîìó, ÷òî ïåðåäà÷à äàííûõ ÷åðåç òóííåëü ssh - ýòî ïåðåñûëêà ip-ïàêåòîâ ïî ñòàíäàðòó RFC4254, Section 7, ãäå ðå÷ü èä¸ò î ñåòåâîì óðîâíå OSI, à ïåðåäà÷à äàííûõ via proxy - ýòî RFC2616, Section 8.1.3, ãäå ðå÷ü èä¸ò î áîëåå âûñîêîì ïðèêëàäíîì óðîâíå OSI.

Ãðóáî ãîâîðÿ, åñëè ìàøèíà åäåò, òî îíà íå îáÿçàòåëüíî äîëæíà îêàçûâàòü óñëóãè òàêñè.

**A1ex** · 18-05-2011, 09:08

Originally Posted by ndvikulov

Ç. Û. â dd-wrt ðàáîòàëî.

è â rtn ðàáîòàåò. À ïðîêñÿ â ôàéðôîêñå êàê íà êàðòèíêå â òîé ñòàòüå íàñòðîåíà? Äåëî ñêîðåé âñåãî â ýòîì. Äîëæíà áûòü çàïîëíåíà òîëüêî ñòðî÷êà Óçåë SOCKS , âñå îñòàëüíûå ñòðîêè äîëæíû áûòü ïóñòû.
ç.û. è êîíå÷íî íèêàêîãî ïðîêñè ñåðâåðà íà ðîóòåð óñòàíàâëèâàòü ïðè ýòîì íå íóæíî

**Lore** · 19-05-2011, 07:21

Originally Posted by A1ex

è â rtn ðàáîòàåò. À ïðîêñÿ â ôàéðôîêñå êàê íà êàðòèíêå â òîé ñòàòüå íàñòðîåíà? Äåëî ñêîðåé âñåãî â ýòîì. Äîëæíà áûòü çàïîëíåíà òîëüêî ñòðî÷êà Óçåë SOCKS , âñå îñòàëüíûå ñòðîêè äîëæíû áûòü ïóñòû.
ç.û. è êîíå÷íî íèêàêîãî ïðîêñè ñåðâåðà íà ðîóòåð óñòàíàâëèâàòü ïðè ýòîì íå íóæíî

Âîò ñïàñèáî! À ÿ-òî çàáàáàõàëñÿ èñêàòü â ÷åì ïðîáëåìà, à âñåãî-òî íàäî áûëî ïóñòûìè îñòàëüíûå ïîëÿ â ôôîêñå îñòàâèòü.

Ïîäòâåðæäàþ, âñ¸ îòëè÷íî ðàáîòàåò

**Sashunya** · 19-05-2011, 12:17

Åùå íå çàáóäüòå â ëèñå ïîñòàâèòü network.proxy.socks_remote_dns â true. ×òîáû èìåíà áðàëà òîæå ñ òóííåëÿ.

**andreyk** · 11-06-2011, 17:07

Çäðàâñòâóéòå, äðóçüÿ!

Åñòü wl500gp ñ ïðîøèâêîé 1.9.2.7-rtn-r2972. Õî÷ó ìàóíòèòü óäàëåííûå õîñòû ÷åðåç sshfs. Ìîäóëü fuse, êàê ÿ ïîíÿë, â ÿäðå åñòü. Ãäå âçÿòü ñîáñòâåííî sshfs?

PHP Code:


$ ipkg list_installed | grep ssh

openssh - 5.8p2-1

openssh-sftp-server - 5.8p2-1

**Briz** · 09-07-2011, 18:33

Ó ìåíÿ ïîëó÷èëîñü íàñòðîèòü âñ¸ ïî ìàíóàëó èç ïåðâîãî ïîñòà. Ñîåäèíÿþñü ñ DIR-320 ó ñåáÿ â ëîêàëüíîé ñåòè. Âîïðîñû:
1. Êàê ìîæíî ïðîâåðèòü åñòü ëè øèôðîâàíèå ïåðåäàâàåìûõ äàííûõ?
2. Êàê íàñòðîèòü PuTTY íà àâòîìàòè÷åñêîå ñîåäèíåíèå? ßðëûê âèäà

"C:\Program Files\PuTTY\putty.exe" -P 22 -v -ssh -l ëîãèí -pw ïàðîëü -T -N -noagent -D 1080:127.0.0.1:80 192.168.1.1

ïðèâîäèë ê ñîåäèíåíèþ, íî òàæå ICQ íå ïîäðóáàëàñü (à ïðè ðàáîòå ñ èíòåðôåéñîì PuTTY - äà).
3. Ìèíóñ òàêîãî ïðîêñè - íå ðàáîòàåò URL Filter èç Internet Firewall (â web-ìîðäå). Âîçìîæíî ëè èñïðàâèòü ñèå ïîëîæåíèå äåë?
4. Âñ¸, ÷òî îáû÷íî ïðîïèñàíî â "C:\wINDOWS\system32\drivers\etc\hosts" òåïåðü îáðàùàåòñÿ ê ðîóòåðó! ß äóìàþ ýòî íå ñîâñåì ïðàâèëüíî.

**rockbomber** · 19-01-2012, 09:17

Âñåì ïðèâåò!
Çàõîòåëîñü ìíå íà ðàáîòå óñòðîèòü äîñòóï ê âíóòðåííåìó jabber ñåðâåðó èç âíå. ×òîáû ìîæíî áûëî â íåì ñèäåòü è îòâå÷àòü íà ñîîáùåíèÿ ñ òåëåôîíà èç ëþáîãî ìåñòà, à íå òîëüêî ñ ðàáî÷åãî ÏÊ. ß íå àäìèí, äîñòóïà ê jabber ñåðâåðó íå èìåþ. Ïî-ýòîìó ðåøèë ñäåëàòü òàê.
Äîìà åñòü WNR3500L ñ ïðîøèâêîé 1.9.2.7-rtn-r3696M îò Vampik ñ áåëûì IP è SSH äîñòóïîì èç WAN.
Âñå ÏÊ è ñåðâåðà íà ðàáîòå çà NAT, ïî-ýòîìó ÿ ñîåäèíÿþñü ïî SSH ñ óñòàíîâêîé òîííåëÿ ÷åðåç putty.

192.168.0.5:5222 - àäðåñ ðàáî÷åãî jabber ñåðâåðà.
4321 - ïîðò, íà êîòîðîì ñòàíîâèòñÿ äîñòóïåí jabber ñåðâåð íà ðîóòåðå.
Ãàëî÷êà "Remote ports do the same" - íà ñêîëüêî ÿ ïîíÿë, àíàëîã êëþ÷à -g, äåëàåò íà ðîóòåðå ýòîò ïîðò äîñòóïíûì ñî âñåõ õîñòîâ, à íå òîëüêî ñ localhost.
Îê. Íî òóò òî è çàãâîçäêà. Jabber ñåðâåð îòêëèêàåòñÿ òîëüêî ïî localhost, à ñ LAN è WAN ìîë÷èò.

Íà ïðåäûäóùåé ñòðàíèöå Vitaly_k îïèñàë ïîõîæóþ ñèòóàöèþ, è íàïèñàë, ÷òî ðåøåíèåì ÿâëÿåòñÿ çàïóñê dropbear ñ êëþ÷åì -a.

Òåïåðü, ñîáñòâåííî, âîïðîñû:
Âñå ëè ÿ äåëàþ ïðàâèëüíî, äëÿ îñóùåñòâëåíèÿ çàìûñëà?

Åñëè äà, òî êàê ìîæíî èçìåíèòü çàïóñê dropbear, ÷òîáû îí çàïóñêàëñÿ ñ íóæíûì ïàðàìåòðîì?
Íà ôîðóìå îïèñûâàþòñÿ ñïîñîáû óñòàíîâêè dropbear ñ íóëÿ, êîãäà åãî çàïóñê óêàçûâàåòñÿ â /usr/local/sbin/post_boot. Íî ÷òî äåëàòü, åñëè dropbear óæå áûë ïðîøèâêå? Äèðåêòîðèè /usr/local/sbin äàæå íåòó.
Íàøåë ñêðèïò /usr/sbin/dropbearstart, â êîíöå êîòîðîãî èäóò ñòðî÷êè dropbear "$@" è exit $?.
dropbear "$@" - êàê ÿ ïîíÿë è çàïóñêàåò ssh ñåðâåð.
Ïðàâèëüíî ëè ÿ ïîíèìàþ, ÷òî, ìíå íàäî äîïèñàòü ê ýòîé ñòðîêå êëþ÷ -a (dropbear -a "$@"), è âûïîëíèòü flashfs save && flashfs commit && flashfs enable && reboot ?
Òàê æå ãëÿíóë ôàéë /sbin/init. Òàì åñòü ñòðî÷êè dropbear è dropbearstart, íî, íàñêîëüêî ïîíÿë, åãî ðóêàìè ëó÷øå íå ðåäàêòèðîâàòü, ò.ê. îí áèíàðíûé, à íå ñêðèïò.

**rockbomber** · 19-01-2012, 10:07

Êîïíóë ãëóáæå â ïîèñê è íàøåë, ÷òî íóæíî îòêëþ÷èòü ssh server â web èíòåðôåéñå, è íàñòðîèòü åãî çàïóñê âðó÷íóþ ñ íóæíûìè êëþ÷àìè, êàê òóò, â ÷åòâåðòîì ïóíêòå: http://wl500g.info/showpost.php?p=19984&postcount=2
Ò.å. íàäî ëèøü ñîçäàòü /usr/local/sbin/post-boot, âïèñàòü â íåãî "#!/bin/sh" è "dropbear -a > /dev/null 2>&1", äàòü àòðèáóò íà èñïîëíåíèå è flashfs save &&
flashfs commit && flashfs enable && reboot. È âñ¸. Êàæèñü, íè ãäå íå íàêîñÿ÷èë?

Èëè íàêîñÿ÷èë? Áóäåò ëè äîñòóïåí ïî WAN ssh ñåðâåð, ïîñëå îòêëþ÷åíèÿ åãî â web ìîðäå è ïðîäåëûâàíèÿ âûøå óïîìÿíóòûõ äåéñòâèé? Âåäü ÷åðåç web èíòåðôåéñ ìû ãäå-òî óêàçûâàåì, ÷òî ñäåëàòü äîñòóïíûì ssh ïî WAN. Íå îòêëþ÷èòüñÿ ëè ýòî ïðàâèëî, ïðè îòêëþ÷åíèè ssh â web èíòåðôåéñå, è íàäî áóäåò ïðîïèñûâàòü ïðàâèëî âðó÷íóþ â post-boot?

Åù¸ êîñÿê íàøåë, åñëè ìû âûêëþ÷èì ssh server â web ìîðäå, íî íàâåðíÿêà îí áóäåò ïîñëå ýòîãî çàïóñêàòüñÿ íà ñòàíäàðòíîì ïîðòó. Òàê ÷òî â ôàéë post-boot ïèøåì "dropbear -p 5190 -a > /dev/null 2>&1".
À âñå ïîòîìó, ÷òî íà ðàáîòå áëîêèðóþò âñå ïîðòû, êðîìå âåá-àñå÷íî-äæàááåðíûõ. Ýòî è ïîçâîëÿåò íàì íàñëàæäàòüñÿ ïîëíîöåííûì áåçëèìèòíûì èíòåðíåòîì, âìåñòî òîãî, ÷òîáû ðàáîòó äåëàòü

À åñëè âñå ïðîêàòèò è ñ ïðîáðîñîì jabber ñåðâåðà, òî è çà ðàáî÷èì ìåñòîì áóäåò ñèäåòü íå îáÿçàòåëüíî

**rockbomber** · 19-01-2012, 17:03

Òàê, äîáðàëñÿ äî äîìà, ãäå óæå ñìåëî ñòàë êîâûðÿòü ðîóòåð, íå áîÿñü îñòàòüñÿ áåç èíåòà íà ðàáîòå

Ìíîãîå ÿ ïðåäïîëîæèë âåðíî. Íàäî îòêëþ÷òü ssh â web èíòåðôåéñå, ñîçäàòü èñïîëíÿåìûé /usr/local/sbin/post-boot, âïèñàòü â íåãî "#!/bin/sh" è "dropbear -a > /dev/null 2>&1".
Êðîìå òîãî, êàê ÿ áîÿëñÿ, òóäà æå íàäî âïèñàòü "iptables -I INPUT -p tcp --dport 5190 -j ACCEPT" äëÿ äîñòóïà ê ssh ïî WAN, à òàê æå "iptables -I INPUT -p tcp --dport 4321 -j ACCEPT", ÷òîáû jabber ñåðâåð òîæå ïî WAN áûë äîñòóïåí.
Ñ ìîáèëêè çàõîäèò, âñå Îê. Ò.å. îñíîâíîå, ÷òî íàäî ñäåëàòü, ýòî çàïóñêàòü dropbear ñ êëþ÷åì -a, è îòêðûòü ïîðò.

Ïðîáëåìîé îñòàëàñü îòâàëèâøàÿñÿ çàùèòà ssh îò áðóòôîðñ àòàê. Ñ ìîáèëêè ñíà÷àëà ïî ssh çàøåë, ïîòîì äîáàâèë â pre-boot "insmod ipt_recent" è â post-firewall "iptables -t nat -I PREROUTING -i ! br0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! br0 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP". Ïîñëå ýòîãî ñ ìîáèëêè ïî ssh çàõîäèòü ïåðåñòàë. Ïðàâèëà ýòè óáðàë, íî âñå-ðàâíî ñ ìîáèëêè ïî ssh íå çàõîäèò. Âîçìîæíî âèíîâàò ìîáèëüíûé èíåò. Íî ýòî óæå òåìà äðóãîãî òîïèêà.

Îñòàëîñü çàâòðà íà ðàáîòå íàñòðîèòü è çàïóñòèòü MyEnTunnel äëÿ ñîçäàíèÿ ïîñòîÿííîãî òóííåëÿ, è ãóëÿòü

**rockbomber** · 19-01-2012, 17:41

Ïðîøèâêà 1.9.2.7-rtn-r3696M.
Åñëè â System Setup -> Services -> Enable SSH access: óñòàíîâëåí â No,
â Internet Firewall -> Enable Brute Force Protection for SSH Server: óñòàíîâëåí â Yes,
à dropbear ïðè ýòîì çàïóñêàåòñÿ èç post-boot, òî íóæíî ëè äîïîëíèòåëüíî âêëþ÷àòü çàùèòó, êàê îïèñàíî òóò http://wl500g.info/showpost.php?p=55173&postcount=50 ?

**rockbomber** · 20-01-2012, 06:03

Â îáùåì, äà. Êîñÿê åù¸ íàøåë. Ïðàâèëà äëÿ îòêðûòèÿ ïîðòîâ âïèñûâàòü íàäî íå â post-boot, à â post-firewall. Áëàãî, íàøåë ñïîñîá, êàê ýòî ïîïðàâèòü ñ ðàáîòû.
Ñ ìîáèëêè òåïåðü â êîðïîðàòèâíûé jabber çàõîäèò.
Òåïåðü îñòàëîñü âíóòðåííþþ òåëåôîíèþ ïåðåíàïðàâëÿòü íà sip èëè skype (ïðèäåòñÿ ïîçíàòü asterisk) è ìîæíî âîîáùå äîìà ñèäåòü

Õîòÿ êîëëåãè ïîäñêàçûâàþò, ÷òî íå ïëîõî áû åùå õàêíóòü ñèñòåìó óïðàâëåíèÿ òóðíèêåòàìè íà ïðîõîäíîé, ÷òîáû ðåãèñòðèðîâàòüñÿ, êàê áóäòî ÷åðåç íèõ ïðîõîäèë)

Íó è îñòàëèñü íåïîíÿòêè ñ çàùèòîé ssh îò áðóòôîðñà, ò.ê. ÿ â iptables âîîáùå íå ðàçáèðàþñü.

**don-pedro** · 20-01-2012, 12:38

Originally Posted by rockbomber

Íó è îñòàëèñü íåïîíÿòêè ñ çàùèòîé ssh îò áðóòôîðñà, ò.ê. ÿ â iptables âîîáùå íå ðàçáèðàþñü.

Ëèáî îñòàâèòü ãàëêó â âåáèíòåðôåéñå è óñïîêîèòüñÿ, ëèáî ïî÷èòàòü ïðî iptables (íàïðèìåð, http://www.opennet.ru/docs/RUS/iptables/ ) è ñäåëàòü http://wl500g.info/showpost.php?p=55173&postcount=50

**rockbomber** · 20-01-2012, 17:01

Originally Posted by don-pedro

Ëèáî îñòàâèòü ãàëêó â âåáèíòåðôåéñå è óñïîêîèòüñÿ, ëèáî ïî÷èòàòü ïðî iptables (íàïðèìåð, http://www.opennet.ru/docs/RUS/iptables/ ) è ñäåëàòü http://wl500g.info/showpost.php?p=55173&postcount=50

Ñïàñèáî! Ïðî iptables îáÿçàòåëüíî ïî÷èòàþ. Ïîêà îñòàâëþ òîëüêî ãàëêó â web èíòåðôåéñå.

Òàê æå ïðîáðîñèë è ïîðò äëÿ RDP. Íî îí ðàáîòàåò êàê-òî íåêîððåêòíî, ïðîñèò çàëîãèíèòüñÿ, à ïîñëå âõîäà ïîÿâëÿåòñÿ ÷åðíûé ýêðàí, êîòîðûé âèñèò íåêîòîðîå âðåìÿ, è ñîåäèíåíèå çàêðûâàåòñÿ ñ îøèáêîé.

×åðåç ïîèñê íàøåë àíàëîãè÷íóþ ïðîáëåìó ó ëþäåé, êîòîðûå èñïîëüçîâàëè ñåðâåð FreeSSH, ïîñëå ñìåíû êîòîðîãî íà OpenSSH, ó íèõ âñå ðàáîòàëî.

Thread: Èñïîëüçîâàíèå ssh-òóíåëåé äëÿ áåçîïàñíîãî äîñòóïà ê ðåñóðñàì LAN

Thread Tools

Rate This Thread

Display

sshfs íà wl500gp (1.9.2.7-rtn-r2972)

Íåäîñòàòêè SSH SOCKS proxy

ssh

Similar Threads

Òåñòèðîâàíèå ñêîðîñòè ÷òåíèÿ/çàïèñè USB-HDD.

Tags for this Thread

Posting Permissions