Page 3 of 17 FirstFirst 1234513 ... LastLast
Results 31 to 45 of 244

Thread: Использование ssh-тунелей для безопасного доступа к ресурсам LAN

  1. #31
    Join Date
    Feb 2007
    Location
    Moscow RF
    Posts
    355
    Quote Originally Posted by DemonGloom View Post
    Я нашел freeSSHd через wikipedia. Но не в этом суть.... Интересует именно такой туннель...
    Если я правильно понял, то алгоритм такой - поднимаем на виндовой машине SSH server, коннектимся клиентом SSH c роутера к этой машине, ну а дальше вроде как http://wl500g.info/showthread.php?t=12833 начиная с 10-го поста. Так?

  2. #32
    Join Date
    Jun 2008
    Location
    Russia, Perm
    Posts
    476
    спасибо, буду пробовать...

  3. #33

    ftp

    В первую очередь хотелось бы сказать огромное спасибо al37919 за понятный мануал! Все работает как надо!
    Во вторую очередь хотелось бы задать вопрос: У меня на роутере висит внешний диск на 2 терабайта через Ethernet интерфейс(ссылка на описание диска http://ishop.sunrise.ru/goodsDescrip...id=0075796&b=1). Так вот я бы хотел, чтобы можно было бы обращаться к этому диску как к сетевому диску через ssh тунель? Как мне это сделать?! Или возможно мне нужно на роутере поднять Server FTP? И что мне с этим FTP делать?!
    Помогите пожалуйсто! Очень нужна помощь! Сам уже весь инет излазил!
    Большое спасибо!

  4. #34
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    все зависит от возможностей коробки с винчестером.

    ftp через туннель --- задача не совсем тривиальная. Возможно, я бы выбрал такой вариант: расшаривание диска на роутер через nfs и доступ к роутеру через sftp

    p.s. постить одно и то же малосодержательное сообщение трижды в разных ветках является нарушением правил конференции "Place a topic only once in one forum (no double or cross posting)" и, мягко говоря, раздражает.

  5. #35
    Прежде всего, спасибо за подробную инструкцию.
    Пытаюсь это все освоить... Установил и запустил dropbear, разобрался с putty.
    Не пойму как мне настроить post-firewall, т.к. не понимаю ничего
    У меня в нем сейчас такие правила(не помню уже для чего, но вроде для DC++ сделан проброс портов)
    #!/bin/sh
    iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -j DROP
    iptables -I SECURITY -p udp --dport 16000:16254 -j RETURN

    Если я добавлю Ваши :
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

    ничего я не испорчу?

  6. #36
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by ghost38 View Post
    Прежде всего, спасибо за подробную инструкцию.
    Пытаюсь это все освоить... Установил и запустил dropbear, разобрался с putty.
    Не пойму как мне настроить post-firewall, т.к. не понимаю ничего
    У меня в нем сейчас такие правила(не помню уже для чего, но вроде для DC++ сделан проброс портов)
    #!/bin/sh
    iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -j DROP
    iptables -I SECURITY -p udp --dport 16000:16254 -j RETURN

    Если я добавлю Ваши :
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

    ничего я не испорчу?
    Надо примерно так чтобы было:
    Code:
    #!/bin/sh
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
    iptables -A FORWARD -j DROP
    iptables -I SECURITY -p udp --dport 16000:16254 -j RETURN

  7. #37

    ограничить права ssh?

    Как можно ограничить пользователя в шеле - к примеру заперев его в домашней папке, или запретить просмотр файлов в папке etc ?

  8. #38
    Quote Originally Posted by Dinamik View Post
    Как можно ограничить пользователя в шеле - к примеру заперев его в домашней папке, или запретить просмотр файлов в папке etc ?
    А зачем кому то кроме админа давать возможность туда ходить?

    Вы можете проспо запретить ему заходить в систему
    Code:
    Usage: adduser [OPTIONS] user_name
    
    Add an user
    
    Options:
            -h DIR          Home directory
            -g GECOS        GECOS field
            -s SHELL        Login shell
            -G GROUP        Add user to existing group
            -S              Create a system user
            -D              Do not assign a password
            -H              Do not create home directory
    Code:
    adduser -s /sbin/nologin user_name
    wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...

  9. #39
    Анти-помощь - луче ничего не отвечать чем писать такое...
    Может человек хочет пропинговать или посканить свой комп с моего шелла, да и не только для этого нужно....
    Если нельзя такого сделать - так и скажите...

  10. #40
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    я бы не сказал, что это антипомощь. Это в некотором смысле основы культуры администрирования многопользовательских систем. Продожу курс.

    1) безответственным пользователям доступ через шелл не предоставляют. Перефразируя известную штатовскую фразу --- это не право, но привилегия.

    2) в полноценных юниксовых серверах пользователям разрешен доступ на чтение к большинству файлов в /etc, однако, запрещен доступ на запись. А то, где хранится важная информация --- пароли и т.д. --- закрыто и для чтения. В общем, выставляйте корректные права доступа и счастие да пребудет...

  11. #41
    Quote Originally Posted by al37919 View Post
    я бы не сказал, что это антипомощь. Это в некотором смысле основы культуры администрирования многопользовательских систем. Продожу курс.

    1) безответственным пользователям доступ через шелл не предоставляют. Перефразируя известную штатовскую фразу --- это не право, но привилегия.

    2) в полноценных юниксовых серверах пользователям разрешен доступ на чтение к большинству файлов в /etc, однако, запрещен доступ на запись. А то, где хранится важная информация --- пароли и т.д. --- закрыто и для чтения. В общем, выставляйте корректные права доступа и счастие да пребудет...
    OFF
    то al37919
    Видемо коллега... верно подмеченно
    /OFF

    А по теме: сделать Вы можете всё что захотите.
    wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...

  12. #42
    Quote Originally Posted by Less View Post
    А по теме: сделать Вы можете всё что захотите.
    Действительно ? могу сделать как за хочу ? блиин афигеть.
    Только я спрашивал в теме КАК это сделать а не что можно с роутером сделать, улавливаете разницу ?

    Один твердит: а зачем вам ?
    Другой: сделать можете что захотите.
    Третий: Не надо вам это.

    Был всего лишь один вопрос, была надежда хотя бы пару примеров увидИть - как это реализовать, а в ответ флуд...

  13. #43
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Видемо коллега... верно подмеченно
    не-а Пользователь unix с ~15-летним стажем

    Один твердит: а зачем вам ?
    Другой: сделать можете что захотите.
    Третий: Не надо вам это.

    Был всего лишь один вопрос, была надежда хотя бы пару примеров увидИть - как это реализовать, а в ответ флуд...
    Батенька, вам, однако, нервы лечить надо. Советы вам дают исключительно по делу...

    как это реализовать --- ответ легче легкого --- комманды chmod, и, возможно, chown. Далее есть wikipedia, opennet и т.д. Надеюсь разберетесь. А после этого, крайне рекомендую перечитать эту ответы вдумчиво. Ибо... --- как реализовать --- тут все просто, а вот что именно реализовывать --- имеет смысл поразмыслить

  14. #44
    Join Date
    Apr 2008
    Location
    Географический центр Европы
    Posts
    263
    Quote Originally Posted by Dinamik View Post
    Был всего лишь один вопрос, была надежда хотя бы пару примеров увидИть - как это реализовать, а в ответ флуд...
    У каталога /etc - права доступа root/root rwxr-xr-x. А так-как сделать юзера более бесправным, чем "azer" нет возможности, стандартными средствами (http://pwet.fr/man/linux/administrat...steme/dropbear), то Вам придется перейти к нестандартным. Например,
    1. установить спецальный Шелл, который не позволяет менять каталог и запускать любые неперечисленные программы/скрипты;
    2. chroot;
    3. SELinux.
    Есть множество вариантов...
    С уважением, Евгений.
    [ASUS WL500g Premium (v1) 1.9.2.7-10] + [512MB USBFlash] + [8GB USBFlash] + [USB BlueTooth DBT-122] + [USB->RS232]

  15. #45

    !!!

    народ подскажите плизз
    можно ли использовать такой туннель для доступа к ресурсам internet
    заранее спасибо!

Page 3 of 17 FirstFirst 1234513 ... LastLast

Similar Threads

  1. Тестирование скорости чтения/записи USB-HDD.
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 87
    Last Post: 20-06-2013, 14:11

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •