Page 5 of 12 FirstFirst ... 34567 ... LastLast
Results 61 to 75 of 171

Thread: И все-таки, как организовать доступ из внешней сети ?

  1. 19-06-2008, 17:03 #61
    Vitalson
    Vitalson is offline Member
    Join Date
    Jun 2008
    Posts
    55
    Quote Originally Posted by FilimoniC View Post
    Вариант 1 реализуется так: вешаете sshd на другой порт (если проблемы на выходном или входном компьютерах, то думать надо - я использую 443, он же https, никто пока не ломился), если IP менется, прописываете DDNS. Затем с помощью putty, либо plink делаете 'Local' (-L) проброс порта до компьютера. выглядит примерно так: для путти на вкладке ssh-tunnels добавляете local, 2020, 192.168.0.55:3899. Таким образом при коннекте на 127.0.0.1:2020 вы через туннель попадете на 192.168.0.55:3899. Без туннеля никак попасть нельзя.
    FilimoniC Спасибо!
    Вариант первый наверное лучше и безопасней чем второй, но не совсем понятно куда, что нужно пробросить и где прописать. Я только купил роутер и еще не совсем вьехал, что и как. Вот по картинкам я вкурил как, только с цифрой нужно решить. Если не сложно поподробнее, на пальцах так сказать...
    Reply With Quote Reply With Quote
  2. 19-06-2008, 17:05 #62
    skelet
    skelet is offline Senior Member
    Join Date
    Jul 2007
    Posts
    228
    FilimoniC, о вот а может подскажите, как реализовать такую схему

    есть домашний комп (на самом деле роутер конечно ), с выставленным наружу ssh на 10001 порту.

    Есть удалённое место (работа), где по 10001 порту можно через тот же путти управлять домашней системой. Это работает отлично.

    А вот теперь хочется использовать scp клиент для доступа с той же машины, что и путти, но напрямую соединиться нельзя. Хочется с помощью путти завернуть траффик в ssh туннель, а на scp клиенте коннектиться как-то наподобие localhost:22, но неясно какое правило ssh редиректа надо использовать...

    Собственно вот и вопрос.
    Reply With Quote Reply With Quote
  3. 19-06-2008, 20:05 #63
    Vitalson
    Vitalson is offline Member
    Join Date
    Jun 2008
    Posts
    55
    Quote Originally Posted by skelet View Post
    есть домашний комп (на самом деле роутер конечно ), с выставленным наружу ssh на 10001 порту.
    Есть удалённое место (работа), где по 10001 порту можно через тот же путти управлять домашней системой. Это работает отлично.
    skelet, как это работает? И что такое путти?
    Reply With Quote Reply With Quote
  4. 19-06-2008, 20:35 #64
    Sagitarius
    Sagitarius is offline Member
    Join Date
    Dec 2007
    Posts
    47
    Путти
    1 Ставим
    2 Настраиваем
    2.1 Не первом рис, вместо прямоугольника ваш DDNS адрес роутера
    2.2 На втором рис, Source port - порт к которому вы собираетесь подключаться клиентом, Destination - IP вашей машины в локальной сети (за роутером) и порт сервера (для RDC WINXP 3389). Третий рис - после нажатия Add.
    3 На четвертом рис, запускаем RDC и направляем его на 127.0.0.1:2020

    Удачи

    ЗЫ. Да, как настроили путти, сохраните сессию как на первом рис.
    Attached Images Attached Images     
    Reply With Quote Reply With Quote
  5. 20-06-2008, 11:46 #65
    FilimoniC
    FilimoniC is offline The Last Millenium
    Send a message via ICQ to FilimoniC
    Join Date
    Jul 2005
    Posts
    800
    skelet, мне вас трудно понять. scp - "secured cp" - "secured copy". То есть в данном случае мы можем скопировать вайл с машины, на которую есть ssh-доступ. Смысла заворачивать scp в ssh туннель нет, так как это одна защита в другой, причем защиты аналогичны.
    Quote Originally Posted by skelet View Post
    А вот теперь хочется использовать scp клиент для доступа с той же машины, что и путти, но напрямую соединиться нельзя.
    Почему нельзя? Можно!
    Соединение с роутером и копирование файла c роутера на свой диск(напрямую):
    Задача: скопировать файл /etc/passwd в c:\passwd.txt
    pscp -P 10001 -scp -l admin_login xxx.homedns.org:/etc/passwd c:\passwd.txt

    Quote Originally Posted by skelet View Post
    Хочется с помощью путти завернуть траффик в ssh туннель, а на scp клиенте коннектиться как-то наподобие localhost:22, но неясно какое правило ssh редиректа надо использовать...
    Собственно вот и вопрос.
    Если уж очень хочется запустить туннель и завернуть в него scp, то так:
    Задача: поднять нуннель до роутера и по туннелю пустить scp до того же роутера.
    Примечания:
    - sshd висит на роутере на порту 22.
    - sshd проброшен наружу и доступен по порту 10001 (то есть снаружи он доступен по 10001, а с роутера на самого себя - 22)
    - Внутренний ip роутера 172.20.1.1
    - На локальной машине открываем туннель: с порта 10002 до роутера на поорт 22
    - Скопировать файл /etc/passwd с роутера на комп в c:\passwd2.txt
    plink -v -ssh -P 10001 -l admin_login -L 127.0.0.1:10002:172.20.1.1:22 -x -a -T -noagent -N xxx.homedns.org
    в другом окне cmd:
    pscp.exe -P 10002 -scp -l admin_login 127.0.0.1:/etc/passwd c:\passwd2.txt
    Однако предупрежу, что "голый scp" использовать не сильно опаснее чем scp завернутый в ssh-туннель. Шифрование одно и то же, логипасс наверное тоже одинаковый, так что вы получаете минимальный прирост безопасности при изрядном приросте геморроя.

    * plink - это "консольный putty", качается с того же сайта что и putty
    * pscp - это scp по ssh, от создателей putty, качается с того же сайта что и putty
    * cайт PuTTY - http://www.chiark.greenend.org.uk/~s.../download.html
    * Если хоитите встроить это в bat-файл, используйте флаг -pw admin_password и -batch, действуют как для plink, так и для pscp
    Last edited by FilimoniC; 20-06-2008 at 12:38.
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!
    Reply With Quote Reply With Quote
  6. 20-06-2008, 12:16 #66
    FilimoniC
    FilimoniC is offline The Last Millenium
    Send a message via ICQ to FilimoniC
    Join Date
    Jul 2005
    Posts
    800
    Quote Originally Posted by Vitalson View Post
    FilimoniC Спасибо!
    Вариант первый наверное лучше и безопасней чем второй, но не совсем понятно куда, что нужно пробросить и где прописать. Я только купил роутер и еще не совсем вьехал, что и как. Вот по картинкам я вкурил как, только с цифрой нужно решить. Если не сложно поподробнее, на пальцах так сказать...
    Сразу замечу, что для соединения с роутером, у него должен быть реальный IP. Это узнайте у провайдера.

    Что такое ssh:
    SSH (англ. Secure Shell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и передачу файлов. Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства операционных систем. Подробнее >
    Знаете что такое "Командная строка Windows"? Если не знаете - сделайте Пуск -> Выполнить -> cmd -> ok. То есть, это управление системой в стиле MS-DOS, командами. Оболочка (то черное окно) - это SHELL. SSH дает возможность запустить такую оболочку у себя на машине, но все что вы в ней напишите будет выполняться не у вас на машине, а на роутере (или дрогом компьютере). То есть, по сути, вы запустили командную строку на роутере, а отображается она у вас тут. Плюс ко всему, через SSH достаточно безопасно передавать пароли, так как соединение между компьютером и роутером шифруется.

    Что такое Putty (или его брат plink):
    PuTTY — свободно распространяемый клиент для протоколов SSH, Telnet, rlogin и чистого TCP (помимо интернет‐протоколов PuTTY также поддерживает последовательные порты). Изначально разрабатывался для Microsoft Windows, однако позднее портирован на Unix. В разработке находятся порты для Mac OS и Mac OS X. Сторонние разработчики выпустили неофициальные порты на другие платформы, такие как мобильные телефоны под управлением Symbian OS и коммуникаторы с Windows Mobile. Программа выпускается под лицензией MIT. Подробнее >
    То есть PuTTY, это та программа, с помощью которой можно создать "SSH-Туннель" (об этом ниже) и\или запустить "командную строку" на роутере так, чтобы она отображалась на компьютере.


    Однако SSH также позволяет делать "туннели". То есть, предположим, у вас есть роутер с установленным ssh-сервером. За роутером стоит домашний компьютер, на котором установлен, скажем, radmin (средство контроля удаленного рабочего стола). Есть два способа подсоединиться:
    Первый: (к теме мало относится) Пробросить radmin "наружу", на роутер, то есть это VirtualServer когда вы соединяетесь с роутером по определенному порту, он автоматом перенаправляет все данные на компьютер во внутренней сети на заранее назначеный порт (порт radmin). Это самое простое, но самое небезопасное, что можно сделать - в этом случае любой пользователь, в том числе хакер, может попробовать туда сунуться и сломать пароль. Система безопасности radmin, по слухам, далеко не самая надежная, поэтому так лучше не делать. В дополнение - попытка взлома немного загружает компьютер, если таких попыток много, то он может отказаться работать. Зато при этом не нужно использоывать никаких ssh и putty.

    Что такое туннели (с википедии)
    Большинство программ для установления соединения используют TCP, который можно передавать через безопасный туннель используя OpenSSH. Так можно устанавливать множество дополнительных TCP соединений внутри одного ssh соединения. Это удобно для сокрытия соединений и шифрования протоколов, которые являются небезопасными и для обхода фаерволла
    Второй вариант - использовать туннель. Это гораздо более безопасный вариант, при таком раскладе все данные и пароли шифруются хорошо зарекомендовавшим себя алгоритмом, вы можете считать себя в почти полной безопасности (остаются вирусы, которые украдут пароль от SSH прямо у вас с компьютера). Работает следующим образом: Сначала устанавливается так называемый SSH-Туннель. Это работает так: После того как вы зашли на роутер по ssh с помощью putty или plink, вы делаете небольшие настройки туннеля. Например: порт 2020 пробросить до 172.20.1.10:4899. Здесь 172.20.1.10 - внутренний IP вашего домашнего компьютера. Он существует и актуален только для вашей домашней сети (тех машин что подключены к роутеру). 4899 - стандартный порт radmin. Теперь вы можете соединитьс с адресом 127.0.0.1 (этот адрес всегда приналежит машине, с которого он запрошен, то есть соединяетесь сами с собой), на порт 2020. PuTTY и SSHD сработают, и незаметно прокинут все данные на ваш домашний компьютер (172.20.1.10), на порт 4899. То есть ваше соединение к самому себе (127.0.0.1) перенаправится через Putty, пройдет тунель, затем sshd на роутере, затем придет на ваш домашний компьютер. Обратите внимание, что без установки туннеля на домашний компьютер никто по-другому попасть не сможет, а значит что никто не сможет сломать пароль radmin (для этого ему сначала придется сломать пароль SSHD роутера, что нелегко). Плюсы такого способа - вы не оставляете ничего открытым наружу в интернет, кроме довольно защищенного sshd, и все данные на пути их следования некисло зашифрованы, так что перехватить их тоже трудно. Минусы - возня с sshd, необходимость запускать putty перед тем как вы захотите зайти на свой домашний компьютер. Однако смею заверить, sshd настраивается один раз и на всю жизнь (до перепрошивки), причем довольно легко.


    Для того, чтобы поставить SSH на роутер, необходимо прошить роутер прошивкой Олега. Настройка и установка SSH-сервера (он называется dropbear в данном случае), то есть программы на роутере, куда вы будете коннектиться с помощью PuTTY или чего-то другого, описана достаточно подробно в ветке "Настройка с нуля".
    Last edited by FilimoniC; 20-06-2008 at 12:30.
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!
    Reply With Quote Reply With Quote
  7. 20-06-2008, 12:51 #67
    FilimoniC
    FilimoniC is offline The Last Millenium
    Send a message via ICQ to FilimoniC
    Join Date
    Jul 2005
    Posts
    800
    Quote Originally Posted by Recruit View Post
    ps... Однако вот несколько дней назад странная штука произошла, после соединения экран вьювера внц черный. Где-то режется трафик но не пойму где. (грешу на свой роутер, он как то сделал мне злую шутку, когда я на свой сайт зайти не мог, техподдержку затерроризировал, однако нашел причину такого - перегрузил роутер!) .. однако сегодня перегужал но ничего не изменилось не знаю что делать. Внутри локальной сети на работе все прекрасно коннектиться и работает а здесь нет.
    Шифрование играйте, отрубите второй монитор, если есть, но не используется. Проблема 99% VNC. Рекомендую RealVNC.
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!
    Reply With Quote Reply With Quote
  8. 20-06-2008, 15:24 #68
    FilimoniC
    FilimoniC is offline The Last Millenium
    Send a message via ICQ to FilimoniC
    Join Date
    Jul 2005
    Posts
    800
    Quote Originally Posted by Sagitarius View Post
    Вторая строка
    Вы не правы, нужно не в порт-триггер, а в виртуал-сервер. Порт-триггер немного для других целей.
    Вот почитайте.
    Вкратце:
    Когда компьютер (неизвестно какой, главное что из внутренней сети роутера) обращается через роутер в интернет по заранее приписаному порту (например порт 50) (Trigger port), и устанавливает соединение, то роутер решает пробросить (аналог Virtual Server) какой-то другой порт (порт 80) (Incoming port) до того компа, который обращался. Теперь весь входящий траффик на порт 80 роутера уходит этому компу. Порт 80 (Incoming port) держится проброшеным пока по порту 50 (Trigger port) ходят данные. Как только по порту 50 (Trigger port) прекращают ходить данные (плюс небольшая задержка), порт 80 (Incoming port) перестает быть проброшеным до данного компьютера и данные до того компа перестают ходить.

    Так как описали вы, делать нельзя, ибо это совсем из другой оперы.
    Пробрасывать порт надо так:
    в Virtual Server:
    Port Range = 10000 (внешний порт, по которому хотите попасть в ссш)
    Local IP: 172.20.1.1 (IP роутера во внутренней сети)
    Local Port: 22 (порт, на котором висит ссш на роутере)
    Protocol: TCP (UDP не нужен для SSH)
    Плюс, _вероятно_ придется на роутере дергать iptables
    Last edited by FilimoniC; 20-06-2008 at 15:55.
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!
    Reply With Quote Reply With Quote
  9. 20-06-2008, 15:51 #69
    FilimoniC
    FilimoniC is offline The Last Millenium
    Send a message via ICQ to FilimoniC
    Join Date
    Jul 2005
    Posts
    800
    Katran: держу пари, либо сохранить, либо ребутнуть забыли. Либо что-то где-то неправильно указано, возможно ноут получает не тот IP на который вы рассчитываете. Не забывайте что IP раздается динамически, а значит что после ребута роутера у любой машины вполне себе пожет стать другой IP. Чтобы этого не случилось, сделайте привязку mac-ip в настройках DHCP. Еще проверьте, в случаен с DHCP, стоит ли у вас автоматическое получение IP на ноутах, не забито ли вручную.
    Last edited by FilimoniC; 20-06-2008 at 15:53.
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!
    Reply With Quote Reply With Quote
  10. 20-06-2008, 17:53 #70
    skelet
    skelet is offline Senior Member
    Join Date
    Jul 2007
    Posts
    228
    FilimoniC, понимаю я всё это, но там дело было такое... в путти в закладке прокси указывался тип none, потом ip:порт фаера.
    А в winscp банально нельзя так сделать в графической среде, когда указываешь тип проски none поля ip и порта неактивны...

    Вот и пришлось с туннелями хитрить, впрочем сейчс всё отлично завернулось.

    Честно говоря мне очень понравился механизм ссш-туннелей, прямо-таки протаскивание верблюда через игольное ушко!

    Но теперь стоит следующая задача: мне не нравится, что слишком много портов торчит наружу, в т.ч. опасные, типа р-админа, хотелось бы оставить один ssh (ну или на крайняк ещё веб-морду роутера), и что-бы туннель приводил пакеты прямо в мою домашнюю локалку, за роутер. Жто вообще хотя бы теоретически возможно?
    Reply With Quote Reply With Quote
  11. 20-06-2008, 20:21 #71
    FilimoniC
    FilimoniC is offline The Last Millenium
    Send a message via ICQ to FilimoniC
    Join Date
    Jul 2005
    Posts
    800
    Quote Originally Posted by skelet View Post
    Но теперь стоит следующая задача: мне не нравится, что слишком много портов торчит наружу, в т.ч. опасные, типа р-админа, хотелось бы оставить один ssh (ну или на крайняк ещё веб-морду роутера), и что-бы туннель приводил пакеты прямо в мою домашнюю локалку, за роутер. Жто вообще хотя бы теоретически возможно?
    В одном SSH-соединении делайте несколько туннелей. Еще обратите внимание сюда:
    -D [listen-IP:]listen-port
    Dynamic SOCKS-based port forwarding
    -L [listen-IP:]listen-port:host:port
    Forward local port to remote address
    -R [listen-IP:]listen-port:host:port
    Forward remote port to local address
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!
    Reply With Quote Reply With Quote
  12. 20-06-2008, 20:31 #72
    Sagitarius
    Sagitarius is offline Member
    Join Date
    Dec 2007
    Posts
    47
    Quote Originally Posted by FilimoniC View Post
    Вы не правы
    Да, каюсь обшибся
    Практически все о тунеле и об открытии SSH наружу здесь
    Удачи
    Reply With Quote Reply With Quote
  13. 21-06-2008, 07:25 #73
    skelet
    skelet is offline Senior Member
    Join Date
    Jul 2007
    Posts
    228
    FilimoniC, спасибо! т.е. туннель ведёт УЖЕ внутрь моей локалки, так я понял?

    ну ежели так, то мне достаточно перекинуть какой-нибудь
    port: 12345 Local, destination 192.168.1.4:4899 (ну 192.168.1.4. адрес компа в локалке дома) для р-админа и
    port: 12346 Local, destination 192.168.1.1:80 для соединения с веб-интерфейсом роутера

    Сейчас проверить не могу, бо выходные, но в целом у меня правильное понимание ситуации или не очень?

    Sagitarius, да ладно, все эти роутеровские фичи с перекидкой портов и виртуальным сервером в принципе не очень-то и нужны, есть ведь механизм туннелей, да и скорее всего безопаснее он.
    Last edited by skelet; 21-06-2008 at 07:28.
    Reply With Quote Reply With Quote
  14. 21-06-2008, 12:58 #74
    Sagitarius
    Sagitarius is offline Member
    Join Date
    Dec 2007
    Posts
    47
    Quote Originally Posted by skelet View Post
    Sagitarius, да ладно, все эти роутеровские фичи с перекидкой портов и виртуальным сервером в принципе не очень-то и нужны, есть ведь механизм туннелей, да и скорее всего безопаснее он.
    Я так понял Вы по ссылке не ходили, ну тада ладно.
    Reply With Quote Reply With Quote
  15. 21-06-2008, 19:36 #75
    skelet
    skelet is offline Senior Member
    Join Date
    Jul 2007
    Posts
    228
    я имел ввиду эту http://www.portforward.com/english/r...inistrator.htm
    впрочем действительно ладно, поэкспериментурую чуток благо выходные
    Reply With Quote Reply With Quote
Page 5 of 12 FirstFirst ... 34567 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. И все-таки как правильно "построить" беспроводной мост?
    By avk in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 215
    Last Post: 06-05-2016, 18:23
  2. Доступ к роутеру из сети. Как это сделать?
    By Bormann in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 258
    Last Post: 27-12-2013, 09:07
  3. Как поделиться интернетом с компьютерами внешней локальной сети?
    By Kerogaz in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 89
    Last Post: 15-04-2013, 17:10
  4. Файл /tmp/etc/hosts
    By Vacheslav in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 8
    Last Post: 25-09-2012, 20:14
  5. И все-таки веб-камера с wl-500gP
    By amateur in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 163
    Last Post: 05-06-2012, 17:15

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules