Archiv verlassen und diese Seite im Standarddesign anzeigen : ssh über die Firewall
Hallo,
ich möchte auf Arbeit auf einen entfernten Root-Server mit SSH/Putty zugreifen. Allerdings kommt man bei uns nur über http nach aussen.
Gibt es möglichkeiten wie man über http mit ssh auf den Server zugreifen kann?
Gruß
jogep
Da musst du den SSH-Server so starten, dass er auf Port 80 horcht:
/usr/bin/sshd -p 80 (vielleicht auch /usr/local/bin/sshd)
Soweit ich weiß, kann man mehrere SSH-Server (mit verschiedenen Ports) auf einem Rechner laufen haben.
Wenn du dich dann mit dem Host verbindest geht das ähnlich:
ssh -p 80 namedeineshosts.org
Gruß,
cypheon
Hi,
danke für die schnelle antwort.
Ich habe sshd (bei mir lag es übrigens unter /usr/sbin/sshd) gestartet.
Wenn ich jetzt allerdings darauf zugreifen will bekomme ich den Fehler
400 bad request
Gruß
jogep
läuft da paralell noch ein Web-Server auf Port 80?
ne gute Firewall merkt das sowieso und wird dich nicht durchlassen...
Allerdings kommt man bei uns nur über http nach aussen.
falls das bedeutet das ihr einen HTTP proxy habt musst du den bei putty angeben
es seih denn es ist ein transparenter proxy dann hast du vermutlich pech...
wir haben einen Proxy, aber diesen habe ich schon eingetragen.
Wenn ich jetzt zuhause probiere über den Port 80 zuzugreifen passiert leider auch nix.
Noch eine Idee?
Gibt es da irgendwelche Protokolle die man sich ansehen könnte?
Gruß
jogep
fragenhaber
25.03.06, 13:25
Hallo jogep,
ich hab hier noch ein Tutorial gefunden. http://www.linuxforen.de/forums/showthread.php?t=195578&highlight=htc+hts
wir haben einen Proxy, aber diesen habe ich schon eingetragen.
Wenn ich jetzt zuhause probiere über den Port 80 zuzugreifen passiert leider auch nix.
dann liegt das problem ja offensichtlich auf seiten des SSHd
ich bin selbst hinter einem HTTP proxy komme aber mit putty und den richtigen einstellungen problemlos auf einen SSH-server der auf port 80 laeuft
schau dir nochmal die konfiguration deines server genau an eigentlich sollte es kein problem sein ihn auf port 80 laufen zu lassen es seih denn du hast wirklich noch einen anderen deamon z.B. einen apache der auf dem selben port horchen will
wie schon weiter oben gesagt: nimm http-tunnel (htc + hts), sonst wirst du über einen reinen http-Proxy glaube ich nicht rüberkommen!
http://www.nocrew.org/software/httptunnel.html
Das funzt recht gut, mach ich bei mir in der Firma auch so.
Grüße
Thomas
... sonst wirst du über einen reinen http-Proxy glaube ich nicht rüberkommen!
was du glaubst ist irrelevant tatsache ist das es geht
ein kumpel und ich machen genau das ein paar mal pro woche :)
HTTP proxy ist ein SQUID
SSH-server laeuft unter linux auf port 80
client ist ein aktueller putty mit eingestelltem HTTP proxy und connected auf port 80 zu dem SSH server
man kann mit putty so auch noch ganz andere anwendungen raustunneln lassen...
liest eigentlich jemand was ich schreibe?
was du glaubst ist irrelevant tatsache ist das es geht
ein kumpel und ich machen genau das ein paar mal pro woche :)
HTTP proxy ist ein SQUID
SSH-server laeuft unter linux auf port 80
client ist ein aktueller putty mit eingestelltem HTTP proxy und connected auf port 80 zu dem SSH server
man kann mit putty so auch noch ganz andere anwendungen raustunneln lassen...
liest eigentlich jemand was ich schreibe?
Sorry, aber du hast dein kein klares Bild.
In dem Moment, wo der Proxy wirklich auf Applikationsebene arbeitet, gibt er nicht nur Pakete weiter, sondern kommuniziert nach außen wie ein Web-Client (im Falle von http). Dann muss man sich auf Applikationslevel begeben und seine Nutzlast erst in http-Transaktionen einpacken, dass sie weitergeleitet wird. Das macht httptunnel.
Und -klar- wenn der ssh mal durchgeht, kann man auch Ports forwarden etc.
Das es bei Euch geht ist nicht unbeding allgemeingültig.
Und mit etwas weniger Arroganz (dein erster Satz!) klappt es auch mit dem Nachbarn ;-)
Greetz
Thomas
viel simpler ist es, einfach port 443 zu benutzen... :) erklärung darf sich jeder selber erschließen (keine lust auf erklären) ... also, SSHd auf port 443 und dann per Putty(Proxy o.Ä. unter Proxy einstellen^^) drauf connecten...
viel simpler ist es, einfach port 443 zu benutzen... :) erklärung darf sich jeder selber erschließen (keine lust auf erklären) ... also, SSHd auf port 443 und dann per Putty(Proxy o.Ä. unter Proxy einstellen^^) drauf connecten...
Du meinst also, dass du so durch jede FW auf Application Level kommst? Aha! Vielleicht gibt es tatsächlich solche, die SSL-Traffic einfach so durchreichen, aber das ist wohl nicht die Regel.
Dann erklär mal dem httptunnel Entwickler, dass er sein Programm umsonst geschrieben hat, weil man ja nur den Port wechseln muß
Greetz
Thomas
ich währe verwundet wenn eine Firewall verschlüsselten SSL-Traffic irgendwie untersuchen würde... zumal eine SSH verbindung afaik kaum von einer SSL Verbindun zu unterscheiden ist.
ich währe verwundet wenn eine Firewall verschlüsselten SSL-Traffic irgendwie untersuchen würde... zumal eine SSH verbindung afaik kaum von einer SSL Verbindun zu unterscheiden ist.
Es handelt sich aber in oben beschriebenem Fall nicht um eine "Verbindung" auf "TCP Port xy" (Ebene 4?), sondern um eine auf http-Ebene (7, oder!?). Da gibt es z.B. http-Header etc., die bei ssh natürlich nicht vorhanden sind. Und diese Pakete werden bei einem Proxy auch nicht nur inspiziert und gefiltert, sondern im Prinzip "neu formuliert". Das sollte bei https nicht anders sein, auch wenn der Proxy dann mit dem SSL-Thema etwas mehr Stress hat.
Greetz
Thomas
mh, maybe... afaik ist es für das SSH protokoll moeglich wie eine SSL verbindung auszusehen, zumindest sieht das für mich hier so aus...
um nochmal auf den netten htp tunnel zu kommen, der ist ja nicht nur für SSH, oder? vielleicht will jemand einen SSH Tunnel vermeiden? Dann sollte man htp einsetzen... hat vielleicht auch mehr performance als nen SSH tunnel? Weiß ich nicht - vermutung
Dann muss man sich auf Applikationslevel begeben und seine Nutzlast erst in http-Transaktionen einpacken, dass sie weitergeleitet wird. Das macht httptunnel.
...und das selbe machen putty als client und der SSHd als server
glaub mir ich arbeite nicht nur sondern ich lebe auch hinter einem HTTP proxy und habe mich daher zwangsweise schon relativ ausfuehrlich mit dem thema beschaeftigt
ich hab dabei unter anderem auch httptunnel ausprobiert das bietet aber eine schlechtere performance und warum sollte man software installieren die man nicht braucht? putty ist schliesslich eh vorhanden...
Das es bei Euch geht ist nicht unbeding allgemeingültig.
vielleicht nicht (habe ich auch nicht behauptet) aber das waere erst noch zu beweisen
das es nicht _nicht_ geht beweise ich selbst regelmaesig
Und mit etwas weniger Arroganz (dein erster Satz!) klappt es auch mit dem Nachbarn ;-)
tut mir leid wenn das zu heftig rueberkam aber das du meine antwort mit deinem posting ohne weitere erklaerungen abgeschmettert hast hat mich etwas geaergert weil das bedeutet das du mich entweder fuer einen luegner oder fuer einen idioten haelst oder mein posting einfach nicht gelesen hast...
edit: wenn gar nichts funktioniert kannst du dir auch noch http://www.your-freedom.de/ ansehen
das benutze ich immer wenn der server von meinem kollegen gerade nicht erreichbar ist
erfordet zwar eine anmeldung aber mehr als email-adresse und benutzername brauchst du nicht und bis ISDN geschwindigkeit ist es voellig kostenlos
Du koenntest auch den Firewalladmin fragen, ob er dir ssh freischaltet.
Wenn er das nicht will, koennte er seine Gruende dafuer haben. Ein umgehen moeglicheweiser vohandendener Sicheheitsrichtlinien der Firma koennte den Job kosten.
Ich kenne mich so tief nicht aus, aber Fakt ist, dass es
a) bei in der Firma so nicht geht
b) sich x Artikel mit dem Thema befassen und immer wieder zu "ssh over httptunnel" kommen
Evtl. liegt es daran, dass es doch sehr unterschiedliche Proxy-Typen gibt: Socks4, Socks5, HTTP etc.
Ich habe jetzt mal in der Putty Doc nachgelesen, dass die Option "HTTP-Proxy" nur dann geht, wenn der Proxy HTTP-Connect unterstützt (http://www.ietf.org/rfc/rfc2817.txt), was eine Art "offizieller" Tunnel via HTTP-Server darstellt.
httptunnel nutzt aber kein http-connect, sondern versteckt seine Nutzlast in http-get und put Paketen, was offensichtlich die universellere Methode ist.
Und ich halte dich nicht fuer einen Lügner, aber deine Wahrheiten sind vielleicht auch nicht so absolut, wie sie Dir erscheinen mögen.
N8
Thomas
was das connect betrifft hast du natuerlich recht wobei das die meisten HTTP proxies unterstuetzen und das es sich um einen HTTP proxy handelt wissen wir alles andere sind nur vermutungen
aber wie jogep's letztem post zu entnehmen ist kommt er momentan auch ohne HTTP-proxy momentan nicht auf seinen SSH server
sobald das wieder funktioniert wuerde ich ihm dazu raten den weniger universellen, einfacheren und performanteren weg zu waehlen
was die wahrheiten betrifft: ich habe immer betont das es bei mir so funktioniert nicht mehr und nicht weniger zu erwaehnen das es mit einer anderen konfiguration probleme geben koennte halte ich fuer ueberfluessig da sich das jeder hier selbst denken kann
was das connect betrifft hast du natuerlich recht wobei das die meisten HTTP proxies unterstuetzen und das es sich um einen HTTP proxy handelt wissen wir alles andere sind nur vermutungen
aber wie jogep's letztem post zu entnehmen ist kommt er momentan auch ohne HTTP-proxy momentan nicht auf seinen SSH server
sobald das wieder funktioniert wuerde ich ihm dazu raten den weniger universellen, einfacheren und performanteren weg zu waehlen
was die wahrheiten betrifft: ich habe immer betont das es bei mir so funktioniert nicht mehr und nicht weniger zu erwaehnen das es mit einer anderen konfiguration probleme geben koennte halte ich fuer ueberfluessig da sich das jeder hier selbst denken kann
Habe gerade einen Artikel aus dem Linux-Mag (Sonderheft Sicherheit, "Verborgene Durchgänge", 62ff) vor mir: "Zur Gegenwehr filtern heute die meisten FW-Admins sämtliche CONNECT-Requests.". Also so ganz selten scheint das nun doch nicht zu sein.
Aber klar, wenn es mit der einfachen "Proxy"-Einstellung im Client geht, ist diese Methode natürlich vorzuziehen. Aber wenn nicht, wird der Kollege Threadowner mit deinen Hinweisen halt nicht zum Ziel kommen (Zitat von dir, xarior: "das ist irrelevant" bezogen auf meinen Beitrag zu httptunnel).
Ich klink mich jetzt aus.
Over und out.
Thomas
(Zitat von dir, xarior: "das ist irrelevant" bezogen auf meinen Beitrag zu httptunnel).
wer lesen kann ist klar im vorteil: das "irrelevant" war auf deinen unbegruendeten glauben bezogen jogep haette keine chance sein vorhaben ausschliesslich nur mit putty und SSH durchzufuehren
aber wenn httptunnel so hervorragend und universell funktioniert sind die meisten admins ganz schoen bloed da das filtern des connect dank httptunnel offenbar nichts nuetzt und genau aus diesem grund glaube ich auch das die meisten admins es lieber gleich sein lassen egal was in irgendeiner zeitschrift steht
wer lesen kann ist klar im vorteil: das "irrelevant" war auf deinen unbegruendeten glauben bezogen jogep haette keine chance sein vorhaben ausschliesslich nur mit putty und SSH durchzufuehren
aber wenn httptunnel so hervorragend und universell funktioniert sind die meisten admins ganz schoen bloed da das filtern des connect dank httptunnel offenbar nichts nuetzt und genau aus diesem grund glaube ich auch das die meisten admins es lieber gleich sein lassen egal was in irgendeiner zeitschrift steht^
lol - schafft die Firewalls und Virenscanner ab, es nützt eh nichts!. :ugly:
Dann hoffe ich mal, dass Du niemals FW-Admin für etwas Wichtiges werden wirst.
"Wer lesen kann..." - Du meinst vielleicht "interpretieren"? Irrelevant war es ja nun tatsächlich nicht. Gleichwohl ich zugebe, dass auch ich zu diesem Zeitpunkt nicht ganz Recht hatte (der Ton macht allerdings die Musik).
Und wer schreiben kann, hat auch Vorteile. So ein paar Kommata im Satz, erhöhen die Lesbarkeit doch enorm. (Zitat xarior: "liest eigentlich jemand was ich schreibe?")
Thomas
schafft die Firewalls und Virenscanner ab, es nützt eh nichts!. :ugly:
das hast du gesagt
Dann hoffe ich mal, dass Du niemals FW-Admin für etwas Wichtiges werden wirst.
keine sorge die gefahr besteht nicht :)
der Ton macht allerdings die Musik
wenn du musik machen willst ist das das falsche forum
mir geht es darum probleme zu loesen und nicht darum einen rhetorik wettbewerb zu gewinnen
uebrigens habe ich mich fuer meine erste ueberreaktion entschuldigt - obwohl ich hier niemanden als "arrogant" bezeichnet habe
aber du hast glueck ich bin etwas weniger nachtragend...
So ein paar Kommata im Satz, erhöhen die Lesbarkeit doch enorm.
wenn das dein niveau ist in sachlichen auseinandersetzungen ist hab ich dir nichts mehr zu sagen
und im gegensatz zu dir halte ich meine versprechen (Zitat tschloss: "Ich klink mich jetzt aus")
ihr habt doch ne macke, chattet lieber mal...
ihr habt doch ne macke, chattet lieber mal...
Danke für den Tipp! Ein klärender Beitrag aus kompetenter Tastatur wäre mir lieber....
(Man muss ja nicht mit jedem hier befreundet sein :cool: )
Greetz
Thomas
Diese "http proxy" funktion in putty, wie leasst sich diese auf einer linux buechse realisieren?
da brauchte man afaik nen extra programm fuer, doofer weise hab ich den rechner nicht hier wo ich das mal probiert hab... reich ich nach :)
EDIT:
das tool hiess afaik Corkscrew oder so.... google mal
das waer klasse... des es fuchst mich zu sehen wie die jungz mit windows auf der Kiste auf ihre buechse kommen und ich nicht :ugly:
EDIT: POST 400 xD
oder auch proxytunnel: http://proxytunnel.sourceforge.net/intro.php
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.