PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ssh über die Firewall



Seiten : [1] 2

jogep
24.03.06, 16:13
Hallo,

ich möchte auf Arbeit auf einen entfernten Root-Server mit SSH/Putty zugreifen. Allerdings kommt man bei uns nur über http nach aussen.

Gibt es möglichkeiten wie man über http mit ssh auf den Server zugreifen kann?

Gruß
jogep

cypheon
24.03.06, 17:12
Da musst du den SSH-Server so starten, dass er auf Port 80 horcht:
/usr/bin/sshd -p 80 (vielleicht auch /usr/local/bin/sshd)
Soweit ich weiß, kann man mehrere SSH-Server (mit verschiedenen Ports) auf einem Rechner laufen haben.

Wenn du dich dann mit dem Host verbindest geht das ähnlich:
ssh -p 80 namedeineshosts.org

Gruß,
cypheon

jogep
25.03.06, 04:24
Hi,

danke für die schnelle antwort.
Ich habe sshd (bei mir lag es übrigens unter /usr/sbin/sshd) gestartet.

Wenn ich jetzt allerdings darauf zugreifen will bekomme ich den Fehler
400 bad request

Gruß
jogep

Blackhawk
25.03.06, 11:21
läuft da paralell noch ein Web-Server auf Port 80?

ne gute Firewall merkt das sowieso und wird dich nicht durchlassen...

xarior
25.03.06, 11:55
Allerdings kommt man bei uns nur über http nach aussen.
falls das bedeutet das ihr einen HTTP proxy habt musst du den bei putty angeben
es seih denn es ist ein transparenter proxy dann hast du vermutlich pech...

jogep
25.03.06, 13:22
wir haben einen Proxy, aber diesen habe ich schon eingetragen.

Wenn ich jetzt zuhause probiere über den Port 80 zuzugreifen passiert leider auch nix.

Noch eine Idee?
Gibt es da irgendwelche Protokolle die man sich ansehen könnte?

Gruß
jogep

fragenhaber
25.03.06, 13:25
Hallo jogep,
ich hab hier noch ein Tutorial gefunden. http://www.linuxforen.de/forums/showthread.php?t=195578&highlight=htc+hts

xarior
25.03.06, 14:08
wir haben einen Proxy, aber diesen habe ich schon eingetragen.

Wenn ich jetzt zuhause probiere über den Port 80 zuzugreifen passiert leider auch nix.

dann liegt das problem ja offensichtlich auf seiten des SSHd
ich bin selbst hinter einem HTTP proxy komme aber mit putty und den richtigen einstellungen problemlos auf einen SSH-server der auf port 80 laeuft

schau dir nochmal die konfiguration deines server genau an eigentlich sollte es kein problem sein ihn auf port 80 laufen zu lassen es seih denn du hast wirklich noch einen anderen deamon z.B. einen apache der auf dem selben port horchen will

tschloss
25.03.06, 17:24
wie schon weiter oben gesagt: nimm http-tunnel (htc + hts), sonst wirst du über einen reinen http-Proxy glaube ich nicht rüberkommen!
http://www.nocrew.org/software/httptunnel.html
Das funzt recht gut, mach ich bei mir in der Firma auch so.

Grüße
Thomas

xarior
25.03.06, 17:53
... sonst wirst du über einen reinen http-Proxy glaube ich nicht rüberkommen!
was du glaubst ist irrelevant tatsache ist das es geht
ein kumpel und ich machen genau das ein paar mal pro woche :)

HTTP proxy ist ein SQUID
SSH-server laeuft unter linux auf port 80
client ist ein aktueller putty mit eingestelltem HTTP proxy und connected auf port 80 zu dem SSH server

man kann mit putty so auch noch ganz andere anwendungen raustunneln lassen...

liest eigentlich jemand was ich schreibe?

tschloss
25.03.06, 19:07
was du glaubst ist irrelevant tatsache ist das es geht
ein kumpel und ich machen genau das ein paar mal pro woche :)

HTTP proxy ist ein SQUID
SSH-server laeuft unter linux auf port 80
client ist ein aktueller putty mit eingestelltem HTTP proxy und connected auf port 80 zu dem SSH server

man kann mit putty so auch noch ganz andere anwendungen raustunneln lassen...

liest eigentlich jemand was ich schreibe?
Sorry, aber du hast dein kein klares Bild.
In dem Moment, wo der Proxy wirklich auf Applikationsebene arbeitet, gibt er nicht nur Pakete weiter, sondern kommuniziert nach außen wie ein Web-Client (im Falle von http). Dann muss man sich auf Applikationslevel begeben und seine Nutzlast erst in http-Transaktionen einpacken, dass sie weitergeleitet wird. Das macht httptunnel.

Und -klar- wenn der ssh mal durchgeht, kann man auch Ports forwarden etc.

Das es bei Euch geht ist nicht unbeding allgemeingültig.

Und mit etwas weniger Arroganz (dein erster Satz!) klappt es auch mit dem Nachbarn ;-)
Greetz
Thomas

Atair
25.03.06, 19:23
viel simpler ist es, einfach port 443 zu benutzen... :) erklärung darf sich jeder selber erschließen (keine lust auf erklären) ... also, SSHd auf port 443 und dann per Putty(Proxy o.Ä. unter Proxy einstellen^^) drauf connecten...

tschloss
25.03.06, 19:35
viel simpler ist es, einfach port 443 zu benutzen... :) erklärung darf sich jeder selber erschließen (keine lust auf erklären) ... also, SSHd auf port 443 und dann per Putty(Proxy o.Ä. unter Proxy einstellen^^) drauf connecten...

Du meinst also, dass du so durch jede FW auf Application Level kommst? Aha! Vielleicht gibt es tatsächlich solche, die SSL-Traffic einfach so durchreichen, aber das ist wohl nicht die Regel.
Dann erklär mal dem httptunnel Entwickler, dass er sein Programm umsonst geschrieben hat, weil man ja nur den Port wechseln muß

Greetz
Thomas

Atair
25.03.06, 19:38
ich währe verwundet wenn eine Firewall verschlüsselten SSL-Traffic irgendwie untersuchen würde... zumal eine SSH verbindung afaik kaum von einer SSL Verbindun zu unterscheiden ist.

tschloss
25.03.06, 19:50
ich währe verwundet wenn eine Firewall verschlüsselten SSL-Traffic irgendwie untersuchen würde... zumal eine SSH verbindung afaik kaum von einer SSL Verbindun zu unterscheiden ist.

Es handelt sich aber in oben beschriebenem Fall nicht um eine "Verbindung" auf "TCP Port xy" (Ebene 4?), sondern um eine auf http-Ebene (7, oder!?). Da gibt es z.B. http-Header etc., die bei ssh natürlich nicht vorhanden sind. Und diese Pakete werden bei einem Proxy auch nicht nur inspiziert und gefiltert, sondern im Prinzip "neu formuliert". Das sollte bei https nicht anders sein, auch wenn der Proxy dann mit dem SSL-Thema etwas mehr Stress hat.

Greetz
Thomas

Atair
25.03.06, 19:55
mh, maybe... afaik ist es für das SSH protokoll moeglich wie eine SSL verbindung auszusehen, zumindest sieht das für mich hier so aus...
um nochmal auf den netten htp tunnel zu kommen, der ist ja nicht nur für SSH, oder? vielleicht will jemand einen SSH Tunnel vermeiden? Dann sollte man htp einsetzen... hat vielleicht auch mehr performance als nen SSH tunnel? Weiß ich nicht - vermutung

xarior
25.03.06, 21:58
Dann muss man sich auf Applikationslevel begeben und seine Nutzlast erst in http-Transaktionen einpacken, dass sie weitergeleitet wird. Das macht httptunnel.

...und das selbe machen putty als client und der SSHd als server

glaub mir ich arbeite nicht nur sondern ich lebe auch hinter einem HTTP proxy und habe mich daher zwangsweise schon relativ ausfuehrlich mit dem thema beschaeftigt
ich hab dabei unter anderem auch httptunnel ausprobiert das bietet aber eine schlechtere performance und warum sollte man software installieren die man nicht braucht? putty ist schliesslich eh vorhanden...


Das es bei Euch geht ist nicht unbeding allgemeingültig.

vielleicht nicht (habe ich auch nicht behauptet) aber das waere erst noch zu beweisen
das es nicht _nicht_ geht beweise ich selbst regelmaesig


Und mit etwas weniger Arroganz (dein erster Satz!) klappt es auch mit dem Nachbarn ;-)

tut mir leid wenn das zu heftig rueberkam aber das du meine antwort mit deinem posting ohne weitere erklaerungen abgeschmettert hast hat mich etwas geaergert weil das bedeutet das du mich entweder fuer einen luegner oder fuer einen idioten haelst oder mein posting einfach nicht gelesen hast...


edit: wenn gar nichts funktioniert kannst du dir auch noch http://www.your-freedom.de/ ansehen
das benutze ich immer wenn der server von meinem kollegen gerade nicht erreichbar ist
erfordet zwar eine anmeldung aber mehr als email-adresse und benutzername brauchst du nicht und bis ISDN geschwindigkeit ist es voellig kostenlos

eule
25.03.06, 23:19
Du koenntest auch den Firewalladmin fragen, ob er dir ssh freischaltet.
Wenn er das nicht will, koennte er seine Gruende dafuer haben. Ein umgehen moeglicheweiser vohandendener Sicheheitsrichtlinien der Firma koennte den Job kosten.

tschloss
25.03.06, 23:22
Ich kenne mich so tief nicht aus, aber Fakt ist, dass es
a) bei in der Firma so nicht geht
b) sich x Artikel mit dem Thema befassen und immer wieder zu "ssh over httptunnel" kommen

Evtl. liegt es daran, dass es doch sehr unterschiedliche Proxy-Typen gibt: Socks4, Socks5, HTTP etc.
Ich habe jetzt mal in der Putty Doc nachgelesen, dass die Option "HTTP-Proxy" nur dann geht, wenn der Proxy HTTP-Connect unterstützt (http://www.ietf.org/rfc/rfc2817.txt), was eine Art "offizieller" Tunnel via HTTP-Server darstellt.
httptunnel nutzt aber kein http-connect, sondern versteckt seine Nutzlast in http-get und put Paketen, was offensichtlich die universellere Methode ist.

Und ich halte dich nicht fuer einen Lügner, aber deine Wahrheiten sind vielleicht auch nicht so absolut, wie sie Dir erscheinen mögen.

N8
Thomas

xarior
26.03.06, 00:27
was das connect betrifft hast du natuerlich recht wobei das die meisten HTTP proxies unterstuetzen und das es sich um einen HTTP proxy handelt wissen wir alles andere sind nur vermutungen

aber wie jogep's letztem post zu entnehmen ist kommt er momentan auch ohne HTTP-proxy momentan nicht auf seinen SSH server
sobald das wieder funktioniert wuerde ich ihm dazu raten den weniger universellen, einfacheren und performanteren weg zu waehlen

was die wahrheiten betrifft: ich habe immer betont das es bei mir so funktioniert nicht mehr und nicht weniger zu erwaehnen das es mit einer anderen konfiguration probleme geben koennte halte ich fuer ueberfluessig da sich das jeder hier selbst denken kann

tschloss
26.03.06, 11:35
was das connect betrifft hast du natuerlich recht wobei das die meisten HTTP proxies unterstuetzen und das es sich um einen HTTP proxy handelt wissen wir alles andere sind nur vermutungen

aber wie jogep's letztem post zu entnehmen ist kommt er momentan auch ohne HTTP-proxy momentan nicht auf seinen SSH server
sobald das wieder funktioniert wuerde ich ihm dazu raten den weniger universellen, einfacheren und performanteren weg zu waehlen

was die wahrheiten betrifft: ich habe immer betont das es bei mir so funktioniert nicht mehr und nicht weniger zu erwaehnen das es mit einer anderen konfiguration probleme geben koennte halte ich fuer ueberfluessig da sich das jeder hier selbst denken kann

Habe gerade einen Artikel aus dem Linux-Mag (Sonderheft Sicherheit, "Verborgene Durchgänge", 62ff) vor mir: "Zur Gegenwehr filtern heute die meisten FW-Admins sämtliche CONNECT-Requests.". Also so ganz selten scheint das nun doch nicht zu sein.
Aber klar, wenn es mit der einfachen "Proxy"-Einstellung im Client geht, ist diese Methode natürlich vorzuziehen. Aber wenn nicht, wird der Kollege Threadowner mit deinen Hinweisen halt nicht zum Ziel kommen (Zitat von dir, xarior: "das ist irrelevant" bezogen auf meinen Beitrag zu httptunnel).

Ich klink mich jetzt aus.
Over und out.
Thomas

xarior
26.03.06, 13:51
(Zitat von dir, xarior: "das ist irrelevant" bezogen auf meinen Beitrag zu httptunnel).

wer lesen kann ist klar im vorteil: das "irrelevant" war auf deinen unbegruendeten glauben bezogen jogep haette keine chance sein vorhaben ausschliesslich nur mit putty und SSH durchzufuehren

aber wenn httptunnel so hervorragend und universell funktioniert sind die meisten admins ganz schoen bloed da das filtern des connect dank httptunnel offenbar nichts nuetzt und genau aus diesem grund glaube ich auch das die meisten admins es lieber gleich sein lassen egal was in irgendeiner zeitschrift steht

tschloss
26.03.06, 14:34
wer lesen kann ist klar im vorteil: das "irrelevant" war auf deinen unbegruendeten glauben bezogen jogep haette keine chance sein vorhaben ausschliesslich nur mit putty und SSH durchzufuehren

aber wenn httptunnel so hervorragend und universell funktioniert sind die meisten admins ganz schoen bloed da das filtern des connect dank httptunnel offenbar nichts nuetzt und genau aus diesem grund glaube ich auch das die meisten admins es lieber gleich sein lassen egal was in irgendeiner zeitschrift steht^

lol - schafft die Firewalls und Virenscanner ab, es nützt eh nichts!. :ugly:
Dann hoffe ich mal, dass Du niemals FW-Admin für etwas Wichtiges werden wirst.

"Wer lesen kann..." - Du meinst vielleicht "interpretieren"? Irrelevant war es ja nun tatsächlich nicht. Gleichwohl ich zugebe, dass auch ich zu diesem Zeitpunkt nicht ganz Recht hatte (der Ton macht allerdings die Musik).

Und wer schreiben kann, hat auch Vorteile. So ein paar Kommata im Satz, erhöhen die Lesbarkeit doch enorm. (Zitat xarior: "liest eigentlich jemand was ich schreibe?")

Thomas

xarior
26.03.06, 14:56
schafft die Firewalls und Virenscanner ab, es nützt eh nichts!. :ugly:

das hast du gesagt


Dann hoffe ich mal, dass Du niemals FW-Admin für etwas Wichtiges werden wirst.

keine sorge die gefahr besteht nicht :)


der Ton macht allerdings die Musik

wenn du musik machen willst ist das das falsche forum
mir geht es darum probleme zu loesen und nicht darum einen rhetorik wettbewerb zu gewinnen
uebrigens habe ich mich fuer meine erste ueberreaktion entschuldigt - obwohl ich hier niemanden als "arrogant" bezeichnet habe
aber du hast glueck ich bin etwas weniger nachtragend...


So ein paar Kommata im Satz, erhöhen die Lesbarkeit doch enorm.
wenn das dein niveau ist in sachlichen auseinandersetzungen ist hab ich dir nichts mehr zu sagen
und im gegensatz zu dir halte ich meine versprechen (Zitat tschloss: "Ich klink mich jetzt aus")

Atair
26.03.06, 17:19
ihr habt doch ne macke, chattet lieber mal...

tschloss
26.03.06, 18:26
ihr habt doch ne macke, chattet lieber mal...
Danke für den Tipp! Ein klärender Beitrag aus kompetenter Tastatur wäre mir lieber....
(Man muss ja nicht mit jedem hier befreundet sein :cool: )

Greetz
Thomas

4x!0n
17.05.06, 12:10
Diese "http proxy" funktion in putty, wie leasst sich diese auf einer linux buechse realisieren?

Atair
17.05.06, 12:21
da brauchte man afaik nen extra programm fuer, doofer weise hab ich den rechner nicht hier wo ich das mal probiert hab... reich ich nach :)

EDIT:
das tool hiess afaik Corkscrew oder so.... google mal

4x!0n
17.05.06, 13:11
das waer klasse... des es fuchst mich zu sehen wie die jungz mit windows auf der Kiste auf ihre buechse kommen und ich nicht :ugly:



EDIT: POST 400 xD

xarior
17.05.06, 20:38
oder auch proxytunnel: http://proxytunnel.sourceforge.net/intro.php