vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
Традиционная задача - как попасть по ssh на хост, не имеющий достижимого извне IP.
В данном случае в варианте "как мне попасть с работы домой".

У домашней машины есть VPN в которую включен хостинговый сервер.

Поэтому в принципе годится любой вариант ssh-через-прокси.

На эту тему теперь есть большой и толстый cookbook.

Начинаем применять рецепты оттуда по очереди

1. ssh -J www.wagner.pp.ru wagner

Увы, у меня на рабочей машине jessie. В нем openssh 6.7, он -J еще не умеет. С виртуалок со stretch и FreeBSD 11 попробовал, работает. Но dist-upgrade на stretch говорить рано. И уж точно не для этой фичи.

2. ssh -o "ProxyCommand ssh -W %h:22 www.wagner.pp.ru" wagner

Это мой openssh умеет. И, в принципе это у меня сейчас штатный способ

3. ssh -o 'ProxyCommand ssh www.wagner.pp.ru nc %h 22' wagner

Это умели и версии openssh, существовавшие десять лет назад. Сейчас я этого даже пробовать не стал. Зачем, если -W есть?

Далее вот такой интересный вопрос - в .xsessionrc на работе у меня все равно прописано открытие ssh-сессии на мою vds с -D 4080. Чтобы использовать этот порт в качестве web-прокси. Потому что не хочу я ошибку 451 видеть.

А может этой самой socks прокси можно еще воспользоваться для хождения по ssh?
Увы, openssh хорошо умеет быть socks-сервером, но не обучен быть socks-клиентом.

В вышеприведенном cookbook рекомендуют использовать netcat в качестве ProxyCommand.

ssh -o "ProxyCommand nc -X 5 -x localhost:4080 %h %p" wagner

Полез смотреть, а-а-а, netcat в jessie не понимает ни -X ни -x. Посмотрел повнимательнее, все гораздо хитрее - в jessie есть четыре разных нетката. И netcat-openbsd все что надо понимает. А у меня почему-то стоял netcat-traditional.

Остался нерассмотренным вопрос использования опции -w в ssh для организации полноценного VPN средствами самого ssh. Но об этом как-нибудь в следующий раз.
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

April 2017

S M T W T F S
       1
2 3 4 5 6 7 8
91011 12 13 14 15
16 17 18 19 2021 22
23 24 25 26 27 2829
30      

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Apr. 28th, 2017 11:35 pm
Powered by Dreamwidth Studios