Tag, folgendes

ich studiere momentan in einem college in amerika bin quasi im college selber wohnhaft. Bin mit einem netzwerk verbunden welches den MS ISA server nutzt. Nun das ist ja eigentlich nicht wichtig. Der punkt ist, dass fast jede website wegen webfiltern oder anderen port filtern gesperrt ist. Da ich mir vor kurzem einen linux vserver gemietet habe um ein paar sachen hochzuladen dachte ich mir frage ich einfach mal ob dieser linux server mir die möglichkeit gibt einen tunnel aufzubauen über den es mir ermöglicht wird wieder "frei" zu sein bzw ohne filter zu surfen. Außerdem wäre es auch ganz nett wenn ich nach 22:00 auch noch über diesen tunnel surfen kann. Hier noch ein paar infos zu dem netzwerk selber.

Netzwerkserver : windows 2000
MS ISA SERVER 2000
Port 22 für SSH ist frei
Port 21 für FTP ist frei
Zwangs proxy server wird zum surfen im netz benötigt

und hier denke ich mal ein wichtiger punkt

wenn ich einen download um sagen wir mal 21:59 starte läuft er ganz normal weiter auch wenn die zeitgrenze von 22:00 überschritten ist. Auch instant messenger wie ICQ und sogar die SSH console werden nach 22:00 wenn sie nun vor 22:00 uhr gestartet wurden nicht beendet d.h ich kann mit SSH normal weiterarbeiten.

Gibt es irgendeine möglichkeit da was zu tunneln ? und wenn ja habt ihr ein paar nützliche tipps wie ich das anstellen kann? hab root zugriff auf meinem vserver kann auch beliebig programme inst etc server läuft auf debian woody.

Vielen dank !!

Das einfachste ist, wohl Du installierst einen Proxy auf deinem Server. Wenn
Du das dann noch wasserdicht machen willst, tunnelst Du die Verbindung
auch noch durch ein VPN (gibt auch ein VPN-o-SSH, Google einfach mal).

HTH

btw: ist das ein College oder ein Kitchen? ;]

Hallo!

Ein direkter SSH-Tunnel ist schlecht; dann müsstest du ja für jede Website auf die du zugreifen willst einen eigenen Tunnel einrichten. Das Beste wird sein du installierst dir auf deinem VServer einen Proxy-Server. Wenn du den an localhost bindest (d.h. nur Verbindungen von localhost sind erlaubt) ist das Sicherheitsrisiko auch nicht gross (oder du hängst halt eine FW davor).

Wenn das erledigt ist baust du mit SSH einen Tunnel zum proxy auf:


ssh -L 8080:localhost:8080 dein.vserver.net

In deinem Browser stellst du dann als Proxy-Server einfach "localhost:8080" ein, und schon kannst du ganz normal im Inet surfen.

Have fun :)

Edit: Schärple war einen Tick schneller ... allerdings brauchst du kein VPN - da das ganze ja durch einen SSH-Tunnel geht ist es sehr sicher und keiner kann lauschen was du da machst ... die Admins sehen nur SSH-Traffic ...

gut danke soweit , wo kriege ich einen guten proxy server für meinen vserver her ?

und ist die zeitsperre dadurch auch überwunden ?


mfg

Original geschrieben von blowfish
gut danke soweit , wo kriege ich einen guten proxy server für meinen vserver her ?

und ist die zeitsperre dadurch auch überwunden ?


mfg

Ich versteh deine Frage nicht ...

Ich persönlich kenne nur den Proxy-Server "Squid". Kann aber sein das der für deine Zwecke etwas oversized ist.

Da die Zeitsperre nur für neue Verbindungen gilt (wenn ich das richtig verstanden habe) und die SSH-Verbindung ja dauernd aktiv bleibt, würde ich sagen das du damit um die Sperre drum rumkommst ... ja.

nun gut hab squid installiert und erfolgreich ausgeführt


vl13s02:~# /usr/local/squid/sbin/squid -NCdl
2004/03/24 23:01:31| Starting Squid Cache version 2.5.STABLE5 for i686-pc-linux-gnu...
2004/03/24 23:01:31| commBind: Cannot bind socket FD 10 to *:80: (98) Address already in use
Aborted

ist also schon am laufen hatte am anfang ein paar error loggs aber jetzt läufts ja

gut jetzt ist die frage wie gehts weiter

hab als root ssh -L 8080:localhost:8080 195.177.220.144

eingegeben und dann in den proxyeinstellungen meines browsers localhost mit port 8080 eingegeben

komme aber noch nicht ins netz.

ist was mit der squid.conf falsch? hab sie soweit wie auf der homepage im man konfiguriert nun ich muss zugeben bin nicht lange mit linux unterwegs ( 7 tage )

wie komme ich jetzt weiter ?

ich verstehe nur nicht wie mein vserver eine auswirkung auf meinen eigenen rechner hier haben kann sodass ich localhost als ip meines proxys hier eintragen kann aber ich glaube ich verstehe das nicht weil ich neu bin aber wenn ihr sagt das es so klappt dann müsste es doch laufen.

bitte um hilfe

mfg

Du musst halt schaun das Squid auch für HTTP und HTTPS aktiviert ist und auch wirklich auf Port 8080 lauscht. So gut kenne ich mich mit der Konfiguration von Squid ehrlich gesagt nicht aus....

Zur Erklärung wie das funktionieren soll: Der SSH-Befehl den du ausgeführt hast sorgt dafür das jede lokale Anfrage auf Port 8080 deines Rechners durch die SSH-Verbindung geschickt wird und dann auf localhost:8080 weitergeleitet wird - also auf den Port 8080 deines VServers ...

Edit: ich habs grad mal ausprobiert. Ich bin zzt in meiner Studentenbude. Hab ne SSH-Verbindung zu meinem Router aufgebaut der ca. 60km entfernt bei meinen Eltern im Keller steht und auf dem ein Proxy läuft ... im Browser noch localhost:8080 eingetragen - läuft wunderbar :) Ich editiere damit gerade meinen Beitrag hier ... :)

verstehe kip vielen dank für die tollen infos ich muss mal schauen wie ich das hinbekomme mit dem squid server aber wird schon irgendwie hinhauen was komisch ist , ich sehe den squid server nicht unter den laufenden prozessen auf meinem server was könnte da nicht stimmen und wie kann ich testen ob der proxy läuft ?

mfg

Hi,

interessante Sachen machst Du da :D

Aber zum Thema:



commBind: Cannot bind socket FD 10 to *:80: (98) Address already in use
Aborted


Bist Du sicher, das squid läuft? Hört sich eher an, als würde er sich aufgrund eines Socketproblems wieder beenden. Schau mal mit "netstat -an | grep 8080", ob da wirklich was an dem Port lauscht. Auch ein "ps ax | grep squid" kannste mal machen, um zu sehen, ob der Prozess läuft. Bin mir jetzt nicht sicher, würd mich aber angesichts der Fehlermeldung da nicht wundern, wenn er nicht läuft...

Gruß,

Phil



Hoppla, Kip war schneller ;)

variant's Beitrag hat mich veranlasst blowfish's Beitrag nochmal genau anzuschaun. Hab die Fehlermeldung die du gepostet hast irgendwie nicht richtig gesehn .. ;)

Jedenfalls hat variant schon recht ... Squid startet nicht weil der Port den Squid benutzen möchte (Port 80) schon belegt ist (und zwar vom Webserver). Öffne mal die Squid config und suche nach der Option "http_port". Da solltest du folgendes eintragen:


http_port localhost:8080

... und dann den squid nochmal starten.

@Kip: Ah, jetzt versteh ich die Fehlermeldung besser ;) Ich hatte das *:80: im ersten Moment für ne IPv6-Adresse gehalten... hat eine gewisse Ähnlichkeit.

BTW, das geht ja wie am Fliessband hier :D

Gruß,

Phil

habs , apache lief wie konnte ich nur so dumm sein .. werde das mal testen jetzt


und noch ne frage , mein squid läuft irgendwo auf nem dummen path der mich nicht gefällt wie kann ich das ändern ?

vl13s02:~# /usr/local/squid/sbin/squid -NCd1
2004/03/24 23:38:43| Starting Squid Cache version 2.5.STABLE5 for i686-pc-linux-gnu...
2004/03/24 23:38:43| Process ID 3040
2004/03/24 23:38:43| With 1024 file descriptors available
2004/03/24 23:38:43| Performing DNS Tests...
2004/03/24 23:38:43| Successful DNS name lookup tests...
2004/03/24 23:38:43| DNS Socket created at 0.0.0.0, port 47562, FD 4
2004/03/24 23:38:43| Adding nameserver 80.190.197.10 from /etc/resolv.conf
2004/03/24 23:38:43| Unlinkd pipe opened on FD 9
2004/03/24 23:38:43| Swap maxSize 102400 KB, estimated 7876 objects
2004/03/24 23:38:43| Target number of buckets: 393
2004/03/24 23:38:43| Using 8192 Store buckets
2004/03/24 23:38:43| Max Mem size: 8192 KB
2004/03/24 23:38:43| Max Swap size: 102400 KB
2004/03/24 23:38:43| Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
2004/03/24 23:38:43| Using Least Load store dir selection
2004/03/24 23:38:43| Set Current Directory to /usr/local/squid/var/cache
2004/03/24 23:38:43| Loaded Icons.
2004/03/24 23:38:43| Accepting HTTP connections at 0.0.0.0, port 80, FD 10.
2004/03/24 23:38:43| Accepting ICP messages at 0.0.0.0, port 3130, FD 11.
2004/03/24 23:38:43| WCCP Disabled.
2004/03/24 23:38:43| Ready to serve requests.
2004/03/24 23:38:43| Done scanning /usr/local/squid/var/cache swaplog (0 entries)
2004/03/24 23:38:43| Finished rebuilding storage from disk.
2004/03/24 23:38:43| 0 Entries scanned
2004/03/24 23:38:43| 0 Invalid entries.
2004/03/24 23:38:43| 0 With invalid flags.
2004/03/24 23:38:43| 0 Objects loaded.
2004/03/24 23:38:43| 0 Objects expired.
2004/03/24 23:38:43| 0 Objects cancelled.
2004/03/24 23:38:43| 0 Duplicate URLs purged.
2004/03/24 23:38:43| 0 Swapfile clashes avoided.
2004/03/24 23:38:43| Took 0.5 seconds ( 0.0 objects/sec).
2004/03/24 23:38:43| Beginning Validation Procedure
2004/03/24 23:38:43| Completed Validation Procedure
2004/03/24 23:38:43| Validated 0 Entries
2004/03/24 23:38:43| store_swap_size = 0k
2004/03/24 23:38:44| storeLateRelease: released 0 objects

irgendwas stimmt da nicht , kann es sein das es nicht läuft weil ich gerade mit windows arbeite und das ganze mit putty mache ?


wie ihr sehen könnt steht im logg irgendwas von : 80.190.197.10 das ist die ip der homepage meines providers komigerweise

achja wenn ich ssh -L 8080:localhost:8080 195.177.220.144 eingebe fragt er mich erstmal nach dem root passwort das gebe ich dann ein danach zeigt er mir die normale login message die ich auch bekomme wenn ich mich ins normale SSH einlogge


wenn ich das dann nochmal mache krieg ich
bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 8080
Could not request local forwarding.
Last login: Wed Mar 24 23:43:15 2004 from pwunix.de on pts/6


denke mal das so alles stimmt aber warum klappts noch immer nit ?

achja und wie kann ich die verbindungen zu den ports wieder schließen ?

Hi,

80.190.197.10 ist die IP des Nameservers Deines Providers (in /etc/resolv.conf wird die Namensauflösung konfiguriert).

Ob's an putty liegt kann ich nicht sagen, will's aber nicht ausschließen. Hast Du keine Möglichkeit, das unter Linux zu testen? Windows is doch so umstritten ;)

Gruß,

Phil



Ach ja, die Ports schließt Du indem Du die Prozesse beendest, die an den Ports lauschen. Oder hab ich Dich jetzt falsch verstanden?

schon richtig , also das problem

DER GROßE HACKEN AN DER SACHE :

da die uni den ISA server von MS verwendet muss ich den MS firewall client aktiviert haben um überhaupt den SSH port nutzen zu können.

Unter linux gibt es glaube ich kein client welches das authen an einem Winsock proxy erlaubt. So jetzt stehe ich da :(

oder was meint ihr ?

problem gelöst funktienoiert alles super .. windows ssh client hat tunnel funktion

ja und woran lags jetzt?

... er hatte bestimmt vergessen in putty(?) die tunnel funktion zu aktivieren, odeR?

aber mal was anderes. wenn er nun über seinen Vserver als proxy durchs netz surft, dann wird ihm der traffic den er verursacht ja auf den Vserver angerechnet, oder?

Original geschrieben von theWireless
aber mal was anderes. wenn er nun über seinen Vserver als proxy durchs netz surft, dann wird ihm der traffic den er verursacht ja auf den Vserver angerechnet, oder?


normalerweise doppelt sogar

einmal von webseite zum vserver und einmal vom vserver über den tunnel zum client

wow also hab ich hier ein traffic problem wenn ich nur 10 GB traffic im monat habe ?
wie läuft das genau mit dem traffic auf nem vserver ?

Original geschrieben von blowfish
wow also hab ich hier ein traffic problem wenn ich nur 10 GB traffic im monat habe ?
wie läuft das genau mit dem traffic auf nem vserver ?


10 gb ist viel traffic, kannst ja tagsüber normal surfen, also nicht über den vserver

ne, kann er doch nich, wenn ich seinen post richtig verstanden habe, da die meisten Pages im Filter hängen bleiben...

wenn du aber nen Esel oder so laufen hast, sind die 10GB schnell weg :D

... edonkey übern proxy sollte wohl eh ein problem darstellen. Und 10GB im Monat für reines Surfen ist schon ziemlich viel ...

gut also gehe ich mal davon aus das die 10 GB reichen .. wie schauts aus mit dem doppelten traffic wegen dem vserver ist da was drann ?
mfg

ja, da ist schon was dran. Die Daten werden ja von zB linuxforen.de zum vserver, und dann von da zu dir uebertragen ...

werde mir das mal angucken .. noch ne kleine fragen mein provider hat die irc ports dichtgemacht wegen ddos attacken kann man da was machen irgendwie doch ins irc kommen ?

warscheinlich nicht oder?

über deinen vserver tunneln :D


ssh -L 1111:irc.linuxforen.de:6667 dein.vserver.net

dann im irc zu localhost:1111 connecten :)