Názory k článku
Tuneluji, tuneluješ, tunelujeme: přesměrování portů

super, to me zajima. Uz se tesim na tunneling celeho sitoveho provozu, posledni dobou jsem o tom chtel neco vedet a zkusit to.

Podrobneji o iptables, tc (QoS).

Určitě se těším na pokračování

iptables jsou v clanku zmineny spise do poctu. Pokud vim,
pred nejakou dobou na rootu vychazel serial na toto tema.
Pokud znate problematiku iptables, je presmerovani vpodstate
jednoduche rozsireni.

QoS je jina problematika, mozna o ni take nekdy neco napisu (a take o ni, myslim, vysly serialy).

Pokud me pamet neklame, tak na rootu zatim clanek o tc (QoS) zatim nevysel, coz je myslim skoda ;-). Urcite by se nasla spousta lidi, kteri by to uvitali.

(v případě -L vzdáleného, u -R lokálního) se spojí na port port2 počítače host2. K čemu to může být dobré?

Nemelo by to byt -L lokalni a -R vzdaleny?

mozna by bylo dobre jeste se zminit o parametru -g :-))

Už se těším na pokračování. Ještě by to chtělo probrat aspoň 2 témata :

a) jak dostat do "kanálu" celou podsíť - tedy něco jako ekvivalent "roude add -net ...", ale aby se ty data cestou šifrovaly

b) dtto jako a) + možnost "přihodit" do šifrovaného manálu i IPX pakety (pokud to půjde samozřejmě).

To umi ipsec. Vyckejte 3. a 4. pokracovani.

Tunelovani me velmi zajima. Nevim, jak donutit 2 site, aby se chovala jako jedna Zatim se mi to nepodarilo :-) Takze zvedave ocekavam pokracovani.

CIPE + ARP proxy

prijemne citanie. dufam ze autor pojde hlbsie
[VPN a spol]

Ja by som potreboval taku vec ze doma na pc (nonstop pripojene na net) mam neverejnu ip a chcem cez ssh tunelovanie na nejaky server aby som sa mohol prihlasovat na moj pc z inetu (pripojim sa na server a z neho na moj pc ked je vytvoreny tunel moj_pc<->server). Je to mozne a bude sa to rozoberat v dalsich dieloch?

to sa da lahko spravit... mozem poskytnut navod teoreticky

presne toto by som potreboval aj ja :D

To jsem taky nekdy zkousel:

doma: ssh -R 8022:localhost:22 user@server

na serveru: ssh -p 8022 domauser@localhost

akorat doma budes muset nejak zajistit, ze kdyz ti to spojeni spadne, tak ho restartnes.

A neviete o nejakom serveri ktory by to poskytoval takuto sluzbu? Fakt by sa mi hodilo to pripajanie z netu.

Jestli to nekdo dela zadarmo, to fakt netusim. Za penize si muzes koupit ucet na hysteria.sk, tam by to mohlo jit.

Jinak studentici by to mohli v nekterych pripadech pouzivat pres skolni server.

Pracujici (predpokladam IT pracovniky v pohodove firme, ktera upravi firewall a DNAT na prani) by to mohly ject pres firemni kompy.

Jinak se leda zkusit s nekym dohodnout, prakticky by mohl stacit ucet na server v nejakym jailu jenom se ssh.

Ted me napada jedno reseni i bez verejneho serveru, za predpokladu, ze pocitac, ze ktereho se pripojuji (na pocitac bez verejne IP adresy) ma verejnou adresu: kdyz se budu chtit pripojit, zjistim si IP adresu pocitace u ktereho sedim a poslu ji emailem (treba zasifrovanou v GPG) na emailovou adresu, ze ktere automaticky vybira muj domaci pocitac postu. Ten email zpracuje a pomoci SSH se protuneluje k pocitaci u ktereho sedim. Ma to slaba mista, ale teoreticky by to melo fungovat, ne ?

zaregistruj se na www.no-ip.org, nainstaluj si na stroj jejich klienta, ktery bude updatovat tve zmenene ip do jejich dns a dale distribuovat. vysledny efekt bude takovy ze se tva masina bude tvarit jako neco.no-ip.org

Bohuzial s neverejnou ip adresou si dynamicke dns moc neuzijem :) . Inak som student ale v skole sa k serveru nedostanem (akurat tak s pacidlom...) takze neviete o nejakom serveri ktory by ma prijal :)

zkus to a uvidis :)

Kait - http://www.no-ip.com/faq.php#8 .

Novejsim iptables tusim nestaci pouhe "--to", vyzaduji "--to-source" u SNAT a "--to-destination" u DNAT.

ntw

"Na závěr bych jen dodal, že bohužel podle mých zkušeností není přesměrovávání pomocí SSH zcela spolehlivé. Pokud bylo spuštěno, vždy mi po několika dnech spadlo - SSH na portu stále poslouchalo, ale spojení nebylo přenášeno. Možná je tato chyba již opravena, nevím, v poslední době jsem přes SSH nic dlouhodobě netuneloval."

Ja osobne tuneluju denne POP3 a IMAP pres SSH. Jedu z PC v privatni siti za firewallem a NATem na PC s public IP. Bohuzel NAT (zrejme) po urcite dobe shazuje neaktivni spojeni (kde neni traffic), takze jsem to musel vyresit, ze po pripojeni sshckem na stroj se asi kazdych 5 sekund vypisuje datum, takze se spojeni drzi. Bezi mi to perfektne, samozrejme kdyz lehne sit nebo restartuju, tak se spojeni prerusi, ale jinak jede nepretrzite. Akorat nedavno jsem pozoroval, ze mi to nejak prestalo fungovat, kdyz jsem mel v POP3 nejakej divnej email, tak tunel sice zustal, ale neslo pres nej komunikovat (pine nemohl nacist email). mimo tunel ten email cist sel (nebyl problem na POP3 serveru) a po smazani to slapalo zase dobre.

Pada spojeni po ssh, kdyz jsi za NATem? Potrebujes heartbeat/watchdog patch:
http://www.sc.isc.tohoku.ac.jp/~hgot/sources/openssh-watchdog.html

ntw

urcite to neni spatne, ovsem tuhle jsem nekde videl hezci reseni bez nutnosti cokoliv patchovat

proste se naloguje a spustis

while true;do echo -en "\0";sleep 15;done &

nic se nezobrazuje, ale pres ssh se to prenasi

A nepomohlo by místo toho třeba zvětšit TCP timeout?
echo 72000 > /proc/sys/net/ipv4/tcp_keepalive_time

nepomuze - my jsme to resili pustenym prikazem top

Obecne je tunelovani TCP v TCP nevhodne. Lepsi je tunelovat TCP v UDP. Proc? To se pise tady:
http://sites.inka.de/sites/bigred/devel/tcp-tcp.html

To máte sice pravdu, ale s příspěvkem, na který odpovídáte, to nijak nesouvisí.

Pro autora:
- Mam za to, ze remote port forwarding (-R) podporuje pouze SSH verze 2.

- Dale jak autor pise, ze muzeme prohlizet nektere firewallem blokovane stranky, napriklad roota, tak
ma pravdu, ale jsou stranky, ktere prohlizet nejdou ... ted mne napada napriklad pokec.atlas.cz ... nevim proc tomu tak je (asi virtualni HTTP server???), pokud autor vi, jak vyresit tento problem, bylo by pekne se s nami o to podelit :) ..

Jinak diky za clanek, seth.

Pokud je to jen kvůli virtuálnímu HTTP serveru, je řešení jednoduché: přidejte si do hosts záznam
127.0.0.1 pokec.atlas.cz
spusťte SSH a do prohlížeče zadejte klasické pokec.atlas.cz. Browser se bude díky záznamu v host tabulce připojovat na lokální adresu, ale v hlavičce HTTP požadavku bude odesílat správně jméno serveru.

Diky, zkusil jsem a funguje to. :) Tim je problem virtualnich HTTP serveru uzavren, ted jen najit jeste vhodny tool do wokynek, ktery mi bude dynamicky modifikovat hosts a vypinat proxy ;) ...

Udělejte si to ve VBScriptu. Buďto tam daný řetězec nenajde a pak ho přidá na konec, nebo ho tam najde a pak příslušný řádek vymaže.

ssh na presmerovani pouzivaji jen amateri, mnohem rozumejsi je tuenlovani pres ssl vrstvu (stunnel and spol)

No, tak nam ty profiku dej nejakou hintu, jak profesionalne tunelovat ... ;)

Pro mne je dulezite, ze mi to pres SSH bezi a ze mi to PuTTy protlaci pres proxy/fw, ktera ma sakra malo povolenych portu ...

seth

http://www.stunnel.org/
http://www.stunnel.org/examples/

Tunelovani pres ssh je fajn kdyz si potrebujes forwardnout port "pro sebe". Kdyz spojujes napr pristup do databaze "nafurt", tak mi prijde stunnel vhodnejsi. Treba si o tom poctes v nejakem pokracovani.

Stunnel neni spatnej, ale neni pro nej potreba generova certifikaty?

SSH je prece jenom rychlejsi a jednodussi - proste ssh -L/-R ... a je to.

Ono te stejne nakonec pouziva SSL knihovnu, akorat nas to vybavi serepetickama kolem :)

A pro sshd snad klíče nepotřebujete? Je to naprosto stejné: démon certifikát resp. klíč mít musí, klient může. Podstatný rozdíl je jen v tom, že stunnel je speciální aplikace pro SSL tunel, zatímco SSH primárně slouží k něčemu úplně jinému a tunelování je jen třešnička na dortu. Tím je dán i výrazný rozdíl ve velikosti programu.

Toho, že by bylo SSH rychlejší (myslíte konfiguraci, zátěž procesoru nebo overhead protokolu?), jsem si nevšiml. Složitost konfigurace je v případě stunnelu verze 3 přibližně stejná, u verze 4 je pro více tunelů konfigurace podstatně jednodušší.

Muzes si na server s stunnelem rict, jestli klientsky certfikaty vyzadujes nebo ne. Stunnel je vybornej, chodi jako z praku. Dokud nechces FTP a podobny zverstva...

O stunnelu jsem uvayoval uz v ramci minuleho serialu o SSL, ale zatim se na nej nedostalo misto :-/

Bude aj L2TP server na linuxe? So sifrovanim?
Taky co vie ukoncit W2k/XP klientov? A linux l2tp
klient?

Velmi dobry clanok. Akurat riesim vo firme pristup pre dial-up-istov do vnutornej siete cez firewall na centralny db server pomocou stunnel-u. Uz sa tesim na pokracovanie.

Jeste jeden komentar k SSH portforwardingu.
Umi to protlacit pouze TCP pakety, takze pokud chcete tunelovat UDP, mate proste smulu. Zkousel
jsem kdysi pouzit NetCat, tak aby na obou stranach tunelu konvertoval UDP na TCP and vice versa, ale
mel jsem jen polovicni uspech, diky tomu, ze jak jsem jiz zminoval SSH v1 nepodporuje remote port forwarding. Takze smerem od klienta mi to fungovalo, ale UDP pakety s odpovedi od serveru bohuzel koncily pred vstupem do tunelu :).

Ma nekdo jine pozitivni zkusenosti?? Protlacil nekdo UDP skrz SSH2 obousmerne ? Ja uz nemel nervy instalovat na starickem serveru SSH2, protoze to vyzadovalo vyssi verzi gcc a to zas potrebovalo preinstalovat kernel ... a to cely delat remotely se mi nechtelo.

Zdar, seth.

Jj, taky by me to zajimalo... zkosel jsem to celkem vsim, co me napadlo, ale UDP se mi pres TCP vytunelovat obousmerne nepovedlo...

Tvrzení, že SSH (nebo jiná aplikace SSL) tuneluje TCP pakety, je značně nepřesné. SSL vrstva netuneluje TCP pakety, ale přímo byte stream příslušného protokolu aplikační vrstvy.

No dobre, nejsem odbornik na "sitarskou" terminologii, to uznavam, mam spise povrchni znalosti a uznavam, ze o tunelovani jako takove se nejedna. Ale problem zustava, SSH portforwarding
nepodporuje "presmerovani" UDP paketu (rozumnej protlaceni jejich obsahu skrz SSL tunel). Takze me zajima, jestli nekdo neco takoveho resil a byl uspesny ...

Pokud máte nějaké zásadní výhrady vůči použití IPsec nebo CIPE, zkuste třeba tohle: http://www.stunnel.org/examples/pppvpn.html

Nevi nekdo, jak prinutit ssh tunel fungovat i bez terminalu? Potreboval bych jeden takovy tunel vytvorit hned po startu systemu, ale jinak nez z terminalu se mne to nedari. Ani parametr -t nepomaha.

Nevim, ale ideu mam :). Zkousel si nohup?

ssh -n a pripadne i -N nepomaha?

Ja som potreboval poslielat zalohu dolezitych dat (cca ~5MB) na iny server v pravidelnych intervaloch. Vyriesil som to vygenerovanim kluca - public key si das na server, kam sa chces pripojit, private key tam, odkial sa chces pripojit. Nenastavis heslo pre pouzitie kluca a bude ti to fungovat aj v skriptoch.
Taktiez sa mozes inspirovat tym, ako prenasat nejake data bezpecne cez SSH:
http://platon.sk/cvs/cvs.php/scripts/shell/ssh-utils/

Jsem ve velke siti LAN se sdilenym pristupem k Inetu. Mam pristup k SSH serveru a chtel bych prez nej vytvorit tunel pro sifrovanou komunikaci ICQ. Bohuzel jsem zatim v zadnem ICQ klientovi neobjevil moznost nadefinovat si vlastni IP a port pro odchozi zpravy, nevite jak to vyresit?

Mam dojem, ze bys musel udelat neco jako

ssh -L 5190:login.icq.com:5190 user@heslo

a pak si ICQ nastavit, aby se pripojoval na localhost:5190 (muj ickle si to dovoluje nastavit:))

Tohle me napadlo, jenze problem je v tomto. ICQ totiz pouziva nejmene 2 porty. Jeden pouziji hned pri pripojeni pro overeni hesla. login.icq.com TCP/5190 no a ten druhy se pouziva pro odchozi zpravy, jenze ten je pridelen vzdy dynamicky z rozsahu >1023 - 65535 bez moznosti jeho zmeny.

Zkus se connectit primo na icq.com:443, vetsina proxy to pusti a ICQ server tam posloucha ...

Promin, znovu a presneji: login.icq.com:443
;)

Koukas se spatne :) A pokud by jsi v orig. ICQ od Mirabilis nemel moznost nastavit adresu a port (o cemz pochybuju), co treba zkusit MirandaICQ (pod WIN32 bezi lip nez original ICQ klient) nebo CenterICQ (lin. konzole)

Nebo SIM, http://sim-icq.sourceforge.net
ntw

Ja koukam dobre. Mirandu mam, muzu nastavit server i port ale pouze pro overeni hesla. Pro posilani zprav toto nastavit nelze. Schvalne si pust nejaky sniffer a podivej se pres jake IP a porty to chodi.

Takze pravidlo mam nastaveno takto: Miranda se pripojuje na localhost port 5190 toto prevezme SSH2 tunel a preposle na port 5190 login.icq.com
Kdyz se ale podivam snifferem tato doprava neni vubec sifrovana. Pritom v pravidle bych problem mit nemel protoze podobna pouzivam i pro postu a tam se sifruje (sniffer).
Prikladam vypis z konzole vubec se mi nelibi treti polozka tunelu:

Proto Místní adresa Cizí adresa Stav PID
TCP 0.0.0.0:4579 0.0.0.0:0 NASLOUCHÁNÍ 1512 - Miranda
TCP 192.168.1.1:4579 205.188.10.4:5190 NAVÁZÁNO 1512 - Miranda
TCP 0.0.0.0:5190 0.0.0.0:0 NASLOUCHÁNÍ 2012 - Tunel


Vypadato jako by Miranda tunel naprosto obchazela

Kdyz uz jste nakousli ICQ, poradte nekdo jak nastavit iptables na NATu aby mi v ICQ chodilo prime spojeni (file transfer & chat). Mam za sebou snad 1K pokusu, ale neuspesne. V iptables zatim bloudim.

Tady je nutne u klienta nadefinovat port pro prijem. A v iptables pote premapovat tento port na konkretni pocitac

mam rovnaky problem (uz vyrieseny). na vzdialeny server som nainstaloval dante socks proxy, pocuvajuce na vnutornom interface (port 1080). z windows masiny za firewallom tam mam forwardovany port 1080 via ssh (openssh for win32) a v icq mam nastaveny SOCKS5 server na localhost:1080.

Ahoj,
ad1)clanek je supr
ad2)zrovna tedka resim nasledujici problem:
nase firma me nekolik pobocek,kde pouzivame
jako firewall linux (iptables + proxy arp),za fw
je cisco jenz privadi internet. Jelikoz pobocky se intenzivne pripojuji na centralu ,kde jsou servery(hlavne imap,pop3,ms sql) ,tak se snazim usetrit linky komprimaci.Zkousel jsem
http://www.vtun.sourceforge.net ,ale vzdycky nejak narazim na proxy arp a nedari se mi to rozchodit. Myslite ,ze tunel pres ssh s komprimaci na patricnych portech je to prave orechove? Neznate nekdo lepsi reseni? U toho vtun se mi libilo to ,ze to ma umet komprimovat celkovy provoz. Kdo mi poradi ,ma u me min pivo :-). Dik hanz

Co takhle IPSec?
http://www.freeswan.org/

Anebo PPTP s MPPE. viz třeba http://www.opentech.at/howtos/pptp.html .

Zapomente na PPTP.
http://www.counterpane.com/pptpv2-paper.html
http://www.counterpane.com/pptp-faq.html
IPSec je spravna cesta.

Konecne jsem propichnul tu f*****g proxy/firewall u nas v praci. Diky moc!

Je nejak mozne ssh ci sshd presvedcit, aby 'tunelovaci' port nebyl otevren jen pro local? 'ssh -2 -g -R 8000:localhost:80 remote' otevre port 8000 jen pro 127.0.0.1 (na stroji remote). Unika mi neco nebo to nejde?

Ted z hlavy nevim, ale myslim, ze to je bezpecnostni opatreni :-)

Pouzijte stunnel, ten je na tohle vhodnejsi.

Rozhodne to jde :), u SSH2, protoze PuTTy to nabizi jako checkboxik ...

To jsem si tez myslel, ale i kdyz v putty nastavim SSH2, remote tunnel a oba checkboxy, tak to stale dopada takto:
tcp4 0 0 localhost.8000 *.* LISTEN

Aha, tak mozna to tak jisty neni :).
Kazdoapdne je potreba zarucit, aby
PuTTy navazoval jen SSH2 spojeni ... takze si overte jestli vas nahodou neprepne do SSH1 tim, ze povolite pouze SSH2 spojeni ... a pokud to i tak nepujde, tak sup buq report na PuTTy a nebo SSH ... :) Mam takovy dojem, ze v jiste verzi OpenSSH nejaka chybka tykajici se remote port forwardingu byla ...
Jak overujete, ze na tom portu poslocha nebo ne ? Jen z logu? A nebo zkousite neco poslat? Napriklad pomoci netcatu ... ?

Z dokumentace PuTTy k remote portforwardingu:

The ‘Remote ports do the same’ option does the same thing for remote-to-local port forwardings (so that machines other than the SSH server machine can connect to the forwarded port.) Note that this feature is only available in the SSH 2 protocol, and not all SSH 2 servers support it (OpenSSH 3.0 does not, for example)

TAKZE TO DOST ZAVISI NA IMPLEMENTACI SSH SERVERU!

Ted mne napadlo, jak tento nedostatek obejit:
pouzijte remote port forwarding na portu1 a na remote stroji pustte netcat at vam posila data z portu2 na localhost:port1.

Ve vasem pripade - port2 - 8000, port1 - libovolny volny port.
Nevim jak pomale to bude, ale pak uz by to melo jit.

Je to trochu stranou tématu tunelování, ale s SSH to souvisí.

Potřeboval bych, aby skript na SSH klientu (na Win - PuTTY?) provedl na vyvolání automatické přilogování a výkon určitých příkazů na počítači s běžícím sshd.

Zcela polopatě - potřebuji, aby uživatel pécéčka byl schopen provést shutdown serveru, aniž by k němu fyzicky chodil psát na klávesnici a aniž by se musel unavovat s pamatováním nějakého vstupního hesla atp.

Věděl byste někdo něco jak to naskriptovat?

Pouzit Plink (k dostani tamtez, co putty).

Musíte si přes ssh-keygen vygenerovat veřejný a privátní klíč. Veřejný nacpěte na serveru do domovského adresáře daného uživatele do souboru ~/.ssh/authorized_keys, soukromý uložte na klienta, a pak zavolejte

ssh -i soubor_s_private_klicem user@server "prikazy"

Pokud používáte PuTTY, stáhněte si ze stejného webu plink.exe a puttygen.exe, přes puttygen si zkonvertujte soukromý klíč do formátu, který bude PuTTY schopno zpracovat (stačí natáhnout ze souboru a znovu uložit) a spouštějte

plink.exe -i soubor_s_private_klicem user@server "prikazy"

POZOR! Obvykle (minimálně u základního nastavení Debianu ;-) musí být vlastníkem authorized_keys daný uživatel a musí byt jediný, kdo má k souboru přístup (tedy ani group, ani other), jinak bude tento způsob autorizace odmítnut (kdyžtak se podívejte do logu, SSH tam obvykle vypíše, proč se mu to nelíbilo - to se týká i portu na Windows). Tahle vlastnost se nechá vypnout v sshd_config nastavenim "StrictModes" na "no", ovšem samozřejmě je to na úkor bezpečnosti.

Díky za tipy.

PuTTY si ty soubory již nějak samo udělalo. Pak pro spuštění plink stačilo:

plink.exe -ssh -pw heslo -l username username@hostaddress halt

Jo, na tuhle možnost jsem zapomněl, plink umí zadávat z příkazového řádku i heslo (OpenSSH to neumí, alespoň pokud vím). No, nevím, jestli bych heslo nechával povalovat na disku, ale to se asi týká i privátních klíčů...

Jojo,nechavat heslo na ucet ktery muze shodit server (vetsinou root),to je neco ;-) Stejne jako klic...ale pro klic je dobre,ze mu lze nastavit jaky prikaz se ma spustit (viz man authorized_keys), zadne vnuceni jinych prikazu se nekona. Jde i omezit z jake IP se dany klic muze hlasit (ale pozor, v OpenSSH v tomhle byl byg). Je toho hodne co lze s klici vykouzlit,ale nesmi se to prehnat ;)

Jsem si vědom, rád bych to dopiloval. Za prvé nějaký účet (ne root), co by mohl pouze shutdown a jinak nic (ani přes konsoli)? Jde to vůbec?

Za druhé, aby se osoba takového účtu mohla přihlásit pouze přes určitý síťový interface (zevnitř LAN), méně ideální je určit pool povolených IP adres. Zároveň bych ale chtěl nechat plné SSH pro jiné účty i z jiných iface, takže filtrací sshd to udělat nejde.

A co takhle mu nastavit shutdown jako shell?

Ja bych vygeneroval specialni klic a do authorized_keys dal ze pri prihlaseni na roota s timto klicem se provede prikaz shutdown.

Uzivatel shutdown s UID=0 a misto shellu shutdown mi prijde jako slusne jednoduche reseni. Prijde mi to takove pekne unixove ;-)

Mno, pokud je k serveru fyzicky pristup, tak to resim tak ze se vypne na CTRL+ALT+DEL (/etc/inittab ... ca::ctrlaltdel:/sbin/shutdown -t3 -h now). To BFU urcite zvladnou (znaji to z M$) a je to jednodussi nez je ucit zachazet s novym SW.

Pokud to potřebuje přes SSH, předpokládám, že daní uživatelé fyzický přístup mít nebudou ;-)

Je to tak napůl. Doma mám fyzický přístup přes štafle na polici pod stropem v předsíni (všude jinde ten hučák vadí) a než jimi pořád verglovat tak je jednodušší to schazovat přes ssh a pak vypínačem, co mi visí dolů. Pro jiné doma by to chtělo něco co nejjednoduššího a aby se mi v tom náhodou nerýpali. S těmi klíči s povolenými příkazy to myslím je docela přiměřené.

Uvažuji ale i pro použití do práce a tam by přístup byl, takže i tahle rada C-A-Del je dost použitelná a díky za ní.

Mimochodem, párkrát server doma pochopitelně někdo vypnul i za běhu a stejně se nic nestalo. Mám pocit, že ext3 je už docela odolný. Přijde mi to podobně odolné jako JFS na AIXu. Jsou nějaké zkušenosti s divokým vypínáním?

Jo tak zkusenosti s divokym vypinanim jsou. Parkrat to nerozchodil ani ext3 a nasledovaly orgie s e2fsck. To byl ale extrem.

zdravim..

zajimalo by me, jestli existuje nejake reseni, jak spojit takto pocitace: [1]NAT <--> [3]inet <--> NAT[2] tak, aby se pocitac [1] tvaril, jakoby byl v siti, ve ktere je pocitac [2]? Za dodrzeni omezeni, ze neni mozne zasahovat do nastaveni site.

sam jsem spachal takove asi ne moc ciste reseni, kde je mezi [1] a [3] ssh tunel a mezi [3] a [2] takova divna javova aplikace vlastni tvorby, ktera spojuje oba konce na [3] a zaroven provozuje socks proxy na [2].

nezna nekdo nejakou lepsi cestu?

Ahoj,
nevite nekdo, jak vytvorit z linuxoveho serveru jednoduchy VPN koncentrator? Potreboval bych zakoncit na jednom stroji nekolik tunelu od ruznych klientu. Moc diky.

Predevsim pro wifi site (treba CZfree.Net) by se velice hodily komprimovane tunely, ktere by dokazali zvysit propustnost a snad i spolehlivost zaruseneho wifi spoje. Jak takovy tunel realizovat a jaky komprimacni program pouzit? Slysel jsem, ze nejrychlejsi a nejlepsi je Bzip2 (ale winrar 3.20 komprimuje na woknech lepe :-), dale by me zajimalo, zdali by slo udelat jakousi virtualni komprimovanou (pod)sit, kde by se nekomprimovaly cele packety, ale pouze datova cast, takze pokud by bylo za sebou vice linuxovych routeru, ktere by byly nakonfigurovane na komprimovane tunely (a byly soucasti one virtualni kompr. site), nemusely by prichazejici data rozbalit a znovu zabalit na odchodu, ale rozbalili by se az na poslednim stroji, ktery by byl posledni v one virtualni "komprimacni siti".Proste vytvorit mnozinu primo spojenych (nebo i neprimo) routeru,ve ktere by datova cast packetu putovala zabalena a rozbalila by se az na hranici teto mnoziny, nebo u adresata nachazejiciho se uvnitr.Neni jiz takova vec hotova?

IPSec vicemene neco takoveho umi (komprimovane veci). Ale spolehlivost asi nezvysite...

A bzip je na tyto ucely vylozene nevhodny zpusob pakovani :-) Potrebujete nejaky algoritmus ktery pracuje s tokem dat.

Ale ne RLE ;)

Pro informaci - na nezarušeném wifi mi IPSec (FreeS/WAN pod Linuxem) jel v pohodě, zvládal dokonce i přístup z WinXP, i když v nich nešlo pověsit na pakety došlé přes IPSec firewall, což považuji za velkou chybu (windows, samozřejmě). Mezi dvěma linuxovými mašinami mi spojení během cca půldruhého měsíce, co jsem to měl nastaveno, nespadlo ani jednou, ovšem signál byl většinou velmi dobrý. Měl jsem takhle řešený tunel skrz wifi do malé síťky v protějším domě a dál do Internetu. Navíc jsem měl v netfilteru povolený provoz pouze přes IPSec, takže případný dobrák, který by se tam chtěl přes wifi nabourat, neměl moc šanci (pokud by tam nebyl nějaký bug, samozřejmě), i kdyby prolomil WEP (ten jsem nakonec úplně vypnul).

Komprimace jde zapnout, ale jak moc je účinná, to, přiznám se, nevím. Maximální rychlosti, kterou jsem s tím dosáhl, byly cca 2.5Mbit/s, dál to nebrzdilo ani tak wifi, jako spíše pomalý procesor v počítači naproti, který nestíhal rychleji šifrovat (nějaká K6 na frekvenci kolem 200MHz, nevím to přesně, pak mi jí ukradli).

Chci se z domova pripojit k FTP serveru, ktery ma omezene prichozi IP. Jinde mam ucet na PC, ktere ma IP v dovolene toleranci. Muzete mi prosim nekdo dat na toto priklad.
Diky.

Předpokládám, že FTP server je v intranetu a PC v tomtéž. Budete mít asi potíž dostat se do toho intranetu, odděluje-li ho nějaká firewall.

Jinak nejjednodušší by asi bylo na to PC instalovat FTP proxy a chodit přes ní. Chtělo by to více info jak to vypadá, co kde běží (na tom PC a co doma) a co je po cestě. Zda máte nějaký vliv na ten FTP server a případně tam něco dát atp. Třeba to lze udělat celé i nějak jinak.

FTP server je na Internetu, ma nejakou IP (napr. 145.31.xx.xx), ale je omezen v pripojeni pouze na PC s IP zacinajici 145.31. Jina odmita. Mam ucet na PC, ktere ma IP 145.31.yy.yy (ale zadna velka prava -> proxy instalovat nemuzu) a doma klasicky dial-up. Chod FTP ovlivnit taky nemuzu. Doma i na PC je Linux. O serveru nic nevim, stejne tak jako o vecech (ceste) mezi.

To je těžké, pokud na PC nic nemůžete?!

Pokud se na něj lze dostat aspoň terminálem (ať již telnet nebo SSH), tak si nainstalujte na svůj stroj doma ftp server (bývá součástí asi všech distribucí) s povoleným uploadem. Pak se z domu přihlaste nějakým terminálem na PC, downloadujte ftp z veřejného serveru na své diskové místo na PC, přelogujte ftp k sobě domů a pak si to uploadněte domů. Ještě si nějak musíte zjistit, jakou IP adresu po dial-up připojení váš domácí stroj právě má. Je to ruční práce, ale vyžaduje to minimum věcí na tom prostředkujícím PC.

ak sa mozte na server kde bezi FTP pripojit aj cez SSH, tak skuste toto:
http://platon.sk/cvs/cvs.php/scripts/shell/ssh-utils/

Je mozne vytvorit tunel po portu 443, kdyz je SSH na FW zakazane?

Proč se všichni tak usilovně bráníte použití stunnelu?

Já se nebráním... Beru cokoliv, co pojede... :-)

Dobrý den,

prosím všechny odborníky zde - neukamenujte mne, ale mohl by mi prosím někdo vysvětlit polopatě jak provést následující:

doma: Linux-FW s verejnou IP, za ni jsou 2 stanice s neverejnou WinXP
v praci: Linux-FW, lezi na ni (provizorni) postak

Potreboval bych z tech XPcech stahovat postu z prace. Jak to provest a na jakou IP nastavit Outlook - pop3?

Diky za kazdou radu.

mame na siti firewall a jediny povoleny port je 3128 chtel bych hrat online hru a zjistil jsem ze se pripojuje na server 82.208.28.204 pres port 6900 ale me srver na nasi siti 192.168.10.1 nepusti co mam delat za odpoved dekuji

Pokouším se vytvořit si server na hru Minecraft už mi chybí jen přesměrovat porty tak aby se na mě mohli lidi přihlásit . Mám windows 7 a nevím co a hlavně kam Zadávat :/ prosím o radu