Недостатки ssh туннелей

в чем минусы ssh туннелей?

смотря что за задача стоит
Для локалхоста и периодического использования в общем то никаких, L2/L3 туннели за несколько нажатий и без геморроя с настройкой это реально шикарно

В маздае это работает через жопу.

В нормальной ОС нужно немого допилить: поменять порт, запретить пароль, запретить вход руту.

Вопрос: в чем минусы ssh туннелей?

гугли «why tcp over tcp is a bad idea» Однако это важно для продакшена, а для локалхоста вполне годно.

И это спорная тема, некоторые считают, что все наоборот.

поменять порт, запретить пароль, запретить вход руту.

При регулярных обновлениях и наличии пунктов 2 и 3, первый пункт не обязателен от слова совсем

В маздае это работает через жопу.

Конкретней?
Маздай будет разве что клиентом.

Боты засрут auth.log в попытках залогиниться с паролем Мао Цзэдун

Я думал сегодня объявлен день вакханалии и рандомной годноты.

Нет опять тред с бредом.( Предлагаю оставить одни картинки.

fail2ban? Это фантастика, сынок

проще и быстрее порт сменить.

Смена порта - это прятание головы в песок. Умные китайские боты уже делают аналог nmap и парсят выхлопы заголовков. Так что так ты спрячешься только от старых добрых тупых ботов, считающих что ssh порт = 22

нету никаких минусов. настроил один раз port-knock и поставил screen.

Ну так старых добрых тупых ботов большинство, а если появятся другие, то можно применить и более изощренные средства.

Если можно бесплатно стать невидимым для 95% ботов - надо брать, ящитаю

Если можно бесплатно стать невидимым для 95% ботов - надо брать, ящитаю

Security through obscurity.

Security through obscurity

Я тоже знаю мантры: om mani padme hum

Не, я не спорю, что метод неуловимого Джо работает. Пока ты этот самый Джо - так вообще на отличненько работает :-)

Вопрос: в чем минусы ssh туннелей?

Геморрой. Особенно при туннелировании UDP.

у вас пруф отклеился

Ну предоставьте мне свой пруф. Я был бы очень признателен.

толсто.
ты можешь лучше, попробуй ещё

Вроде толсто как раз у тебя. Я, например, не знаю простого способа создания туннеля для UDP посредством SSH. У гугла, видать, тоже неправильно спрашивал. Поэтому опиши или ссылку кинь. Потому что мне нужно.

Я, например, не знаю простого способа создания туннеля для UDP посредством SSH.

Там можно только для конкретного порта. Например, DNS. Могу скинуть ссылку (уже накопал).

И вообще, что-то мне не говорят самого главного: ssh - это ж туннель транспортного уровня (L3); то есть можно туннелировать «конкртеный порт», но нельзя туннелировать весь TCP (даже не UDP) трафик к конкретному порту. Я всё правильно понимаю?

Они отваливаются и пробрасывают только TCP только заданных программ. OpenVPN цепляетесь и все программы видят вашу удаленную сеть. Настраивается OpenVPN, кстати, очень просто.

man ssh уже и хватит клевать мозг

SSH-BASED VIRTUAL PRIVATE NETWORKS
     ssh contains support for Virtual Private Network (VPN) tunnelling using
     the tun(4) network pseudo-device, allowing two networks to be joined
     securely.  The sshd_config(5) configuration option PermitTunnel controls
     whether the server supports this, and at what level (layer 2 or 3 traf‐
     fic).

     The following example would connect client network 10.0.50.0/24 with
     remote network 10.0.99.0/24 using a point-to-point connection from
     10.1.1.1 to 10.1.1.2, provided that the SSH server running on the gateway
     to the remote network, at 192.168.1.15, allows it.

     On the client:

           # ssh -f -w 0:1 192.168.1.15 true
           # ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
           # route add 10.0.99.0/24 10.1.1.2

     On the server:

           # ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
           # route add 10.0.50.0/24 10.1.1.1

     Client access may be more finely tuned via the /root/.ssh/authorized_keys
     file (see below) and the PermitRootLogin server option.  The following
     entry would permit connections on tun(4) device 1 from user “jane” and on
     tun device 2 from user “john”, if PermitRootLogin is set to
     “forced-commands-only”:

       tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
       tunnel="2",command="sh /etc/netstart tun2" ssh-rsa ... john

     Since an SSH-based setup entails a fair amount of overhead, it may be
     more suited to temporary setups, such as for wireless VPNs.  More perma‐
     nent VPNs are better provided by tools such as ipsecctl(8) and
     isakmpd(8).

ssh - это ж туннель транспортного уровня (L3)
Я всё правильно понимаю?

Успокойтесь, вы оба неправы.
Как писал регистрант в самом первом комментарии, SSH позволяет делать L2/L3 туннели. Т.е. вам может помочь L2 туннель, это гуглится на раз

Поменял порт на многомноготысячный, ниодного бота:

root@server:roman# cat /var/log/auth.log* | grep -i "failed password" &&  zcat /var/log/auth.log* | grep -i "failed password" 
root@server:roman#

Хотя такая тишина может быть из-за включенной двухфакторной аутетнификации.

Security through obscurity

Нет нормального реконнекта?

гугли «why tcp over tcp is a bad idea»

можно вкратце узнать «почему»?

если нельзя, так и скажи, буду читать всё

Они отваливаются и пробрасывают только TCP только заданных программ.

Я вот только недавно это понял.

Настраивается OpenVPN, кстати, очень просто.

Спасибо за хорошую ссылку!

Они отваливаются и пробрасывают только TCP только заданных программ

Кстати, anonymous вверху намекает что можно и всех.

VPN роутит весь трафик. Обычно это удобней. К тому же VPN поддерживается практически на всех устройствах. Если хватает одного порта или socks-прокси, можно и ssh.

Ага. Скинь ссылку. Весь при определённых условиях можно. :) Через socks proxy встроенный.

Это ты называешь «просто»?

Ага. Скинь ссылку. Весь при определённых условиях можно. :) Через socks proxy встроенный.

Например вот: http://superuser.com/questions/53103/udp-traffic-through-ssh-tunnel . Туннелится только UDP порт 53.

Но вот ребята вверху отвечают, что можно сделать L2 туннель. Остается понять, можно ли через него UDP передавать.

можно ли через него UDP передавать

можно, я разрешаю

Умные китайские боты уже делают аналог nmap и парсят выхлопы заголовков.

Кстати, nmap по умолчанию не показывает в выхлопе некоторые порты даже если они открыты. Я как раз на них обычно SSH и вешаю. Но почему оно так делает? В доках не нашёл.

Торренты через SSH погоняй.

Ну так я тоже умею. Просто геморно это.

Но почему оно так делает? В доках не нашёл.

В доках это есть, ты просто не искал.

Вкратце, если в tcp-туннеле передается несколько независимых потоков данных, то потеря одного внешнего пакета задерживает все внутренние потоки данных.

http://nmap.org/book/man-port-specification.html

By default, Nmap scans the most common 1,000 ports for each protocol.

Хз что значит most common ports для TCP или UDP. Сделано это судя по всему для ускорения этого самого сканирования. На правах кэпа уточняю: чтоб сканить все порты нужно указать ключик -p 1-65535

Блин, когда я читал документацию, мой английский был хуже, чем сейчас, и я понял эту фразу неправильно... Я подумал, что оно сканит порты от 1 до 1000.

В маздае нет ссш в коробке, нужен сторонний костыль. Да, даже клиент. Ну и потом графику по ссш в маздае тоже не пробросить ез костылей, а через консоль маздай неуправляем. No Way.

Что-то в моих логах нет никаких левых входов. Просто порт сменил на 51###.

В маздае нет ссш в коробке

PuTTY решает

Ну и потом графику по ссш в маздае тоже не пробросить ез костылей

VNC?

через консоль маздай неуправляем

Windows будет клиентом, не более.

Путти глючит с ключом и на нестандартном порту. Может и исправили, я давно в этом дерьме не ковырялся. И да, говорят, для маздая есть более лучшие ssh клиенты, нежели путти.

ЗЫЖ это не туннель получается, а просто удалённый терминал имхо.