LINUX.ORG.RU
решено ФорумAdmin

Долезть до сервера через кучу nat и fw, хотя бы по ssh

 , , ,


1

4

Есть некоторый сервер, находясь рядом с которым можно сделать ping ya.ru и на нем будет интернет. Но этот сервер в конторе спрятан за кучей firewall-ов и NAT, предположим админ условно в запое и вообще не умеет настраивать.

Да, есть возможность использовать AnyDesk или TeamViewer на других тачках, где есть графическая оболочка. Но целевая машина даже не x86 система.

Как организовать удаленный доступ через кучу NAT к не-x86 серверу без графики (хотя она там есть X11 обычный, но я думаю что полагаться нет смысла на это).

Пока что придумали подключить Android телефон в режиме модема, обычный RNDIS вполне себе поднимется там, и так будет хоть немного проще туда залезать. Но и то, ведь телефон это тоже как NAT.

Такой вот вопрос. Как залезать в таких ситуациях, как «организовать легальный бэкдор»?

если рядом с сервером есть человек с устройством, которое имеет доступ в Интернет и который умеет вводить что-то сложнее ping ya.ru, можно через reverse ssh попробовать подключиться.

Правда на твоей стороне нужен хост с белым IP, принимающий SSH-соединения

Но обычно объяснить как запускать Anydesk/Teamviewer проще, чем рассказать как фигачить ssh -R из консоли :-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)

Зацепи его через OpenVPN к твоему серверу и ходи по этому туннелю. OpenVPN можно даже через проксю пропустить (правда, только TCP). В принципе, можно и ssh-туннелем или даже SSH VPN, но опенвпн побыстрее будет.

nebularia ★★★
()
Последнее исправление: nebularia (всего исправлений: 1)

проставить на всех промежуточных NAT и FW правила допуска и пробросы порта на ssh данного сервера. вход ssh естественно сделать только по ключу.
реверс ssh и впн уже сказали.

pfg ★★★★★
()
Ответ на: комментарий от pfg

Пробивать NAT, даже когда и клиент и сервер не имеют внешнего адреса.

anonymous
()

можно серверу подключаться по ssh через tor, для этого на сервере должен быть запущен hidden service. Тогда на наты вообще пофигу

anonymous
()
Ответ на: комментарий от Pinkbyte

reverse ssh

Интересно. Ушел яндексить!

Кстати, временно решили проблему так: вывели в локалку, а далее через стыдно говорить виндовс и AnyDesk а на саму систему локально через putty/ssh2 заползли

Это порно работает достаточно сносно. Но потом reverse ssh это без проблем, если его еще можно в автозагрузку прописать, а дома роутер я настрою без проблем

I-Love-Microsoft ★★★★★
() автор топика
Последнее исправление: I-Love-Microsoft (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

а далее через стыдно говорить виндовс и AnyDesk
putty

Ничего стыдного, у вас же там очевидно Эльбрус, на который ты так наяривал и давно ждал. Смотрю, все идет по плану.

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

если его еще можно в автозагрузку прописать, а дома роутер я настрою без проблем

тогда сразу смотри в сторону autossh

Pinkbyte ★★★★★
()
Ответ на: комментарий от pfg

FFGJ

зачем человеку тор если он не собирается палится.

Тор на любом flow видно, как публичный дом в день получки.

beastie ★★★★★
()
Ответ на: FFGJ от beastie

«мне кааатцо», ентое все из-за громкой рекламы тора. сейчас тор рассматриваетца современным поколением Z не как рабочий инструмент, со своими плюсами и минусами, а как икона божьей матери в окантовке из золота 999 с серебряными позументами. ее использование непререкаемо как вера в абсолютное будущее…
много лет назад один дизигнер все грезил RAID-массивом :) «давай поставим давай поставим» а на вопрос «какой тип и зачем и что он будет делать ??» стухал и смотрел непонимающе - чё ты мне тут глупости в калёса вставляешь…

pfg ★★★★★
()
Ответ на: FFGJ от beastie

он не собирается палится

Перед кем и почему?

anonymous
()
Ответ на: комментарий от pfg

Дядь, почему ты пишешь как поколение Z?

anonymous
()

как «организовать легальный бэкдор»?

В принципе уже почти всё перечислели.

  • reverse SSH tunnel – на один раз достучаться
  • reverse SSH tunnel with autossh – когда временное решение становится постоянным
  • (Open)VPN – на более чем два раза
  • IPv6 – предел мечтаний
beastie ★★★★★
()
Ответ на: комментарий от anonymous

у вас же там очевидно Эльбрус, на который ты так наяривал и давно ждал. Смотрю, все идет по плану

Всё так, Эльбрус-8С. Оно действительно работает, хотя я бы предпочел видеть там Alt Linux а не Astra

PS AnyDesk у меня и на Linux отлично работает

I-Love-Microsoft ★★★★★
() автор топика
Ответ на: комментарий от pfg

«мне кааатцо», ентое все из-за громкой рекламы тора
О боже! Tor взломан и не анонимен??!
Tor контролируют шпионы АНБ. Никогда не используйте Tor.
Tor медленный и для педотеррористов, ставь VPN и не парься
Шифрование у Tor слабее чем у VPN(sic!)
VPN маскирует весь трафик, а Tor только браузер(про TransPort мы таки не слышали, да)
Роскомнадзор запретил Tor. Теперь он вне закона.
etc

Вот это у вас жирный троллинг такой или серьёзно всё?? «Громкая реклама» НКО — это же ведь именно НКО тратят 99% бюджета на рекламу, мда...

Tor — ибо просто как две строчки конфига и безопасно из коробки. VPN можно по пьяни открыть для всего мира голой пятой точкой, это уметь настраивать надо, а если доступ однократный нужен — оно того не стоит.

Ну и да, таки РКН не увидит, кто и когда подключается к серверу и наоборот. А с VPN увидит, ещё как, и обязательно запишет логи. И занесёт в архив.

SM5T001
()
Ответ на: комментарий от Dark_SavanT

man reverse ssh

Кто-нибудь этим пользовался? Есть примеры? В интернете мутно пишут

Допустим мой домашний IP 7.7.7.7 и я открыл порт 3333 на основной комп. Есть много статей по reverse ssh, но я не понимаю куда подставить мои 7.7.7.7 и куда 3333

I-Love-Microsoft ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Ssh over Tor hidden service

Кстати, да. Самое простое и красивое решение.

adn ★★★★
()
Ответ на: комментарий от I-Love-Microsoft

https://habr.com/en/post/122445/

Я подобной штукой пользуюсь регулярно, это наверное самый надёжный способ что-то пробросить.

UPD:

на эльбрусе запускаешь: ssh -R 1488:127.0.0.1:22 winsucks@7.7.7.7

на 7.7.7.7 запускаешь: ssh elbrusrulez@127.0.0.1 -p 1488

Как-то так ЕМНИП

Dark_SavanT ★★★★★
()
Последнее исправление: Dark_SavanT (всего исправлений: 2)
Ответ на: комментарий от I-Love-Microsoft

Кстати, временно решили проблему так: вывели в локалку, а далее через стыдно говорить виндовс и AnyDesk а на саму систему локально через putty/ssh2 заползли

Я всегда так делаю. Если возникают проблемы с доступом. Правда использую на винде RMS вместо AnyDesk.

Bootmen ☆☆☆
()

малинку в локалку с этим компом воткнуть, а на малинку накатить анидеск или что угодно иное вот и всё. На малинку заходишь и в ней по ssh к серверу уже

Или второй вариант, на этом самом сервере настроить подключение к IPv6 сервер брокеру и вуаля у тебя попа смотрит в интернет. Хотя я это давно не тыкал. Одно время это было популярно, а сейчас чёт тихо

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

мне нравится вариант с малинкой, как менее инвазивный. На сервере потом удалят конфиг реверс ссш, или еще чего, ведь это тестовый полигон; или поставят рядом второй. А малинка будет стоять

zendrz ★★
()
Ответ на: комментарий от I-Love-Microsoft

Пятизвездочный сисадмин не умеет в ssh, что тут ещё скажешь… Я теперь даже не удивлен что именно ты так яро топил за страну и в частности Эльбрус. То есть заныкать его за кучу фаерволов и натов вы умудрились (или это было требование вендора?), но при этом доступ снаружи для таких как ты не осилили.

Ясно.

anonymous
()
Ответ на: комментарий от anonymous

У меня нет предубеждений против ру продукции, но есть против таких странных администраторов. Ну попросите, пусть вам тимвьювер или энидеск на Эльбрус портируют, если вы ман по ssh прочитать всем коллективом не осилили. Хороший коллектив, интересные задачи, скоро штаты перегоним.

Как ты там вечно писал в тредах про Эльбрус - «надо же с чего то начинать»? Ну так начните с увольнения текущего персонала и наймите тех кто пользовался ssh.

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

ssh, но я не понимаю куда подставить мои 7.7.7.7 и куда 3333

В трудовую подставь. Ну серьезно, это норма сейчас?

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

не понимаю куда подставить мои 7.7.7.7 и куда 3333

I-Love-Microsoft

Microsoft

В реестр, же!

htower_ ★★
()
Ответ на: комментарий от anonymous

Господи, да что ж ты так раскукарекался, да не админ я и никто из моих коллег, а наш 1 админ виндузятник. А коллектив работал долгое время с QNX4 поэтому ничего не соображает в SSH, более того я сейчас на удаленке, будь единственный пользователь Linux во всей конторе (я) сейчас там, было бы проще

Ну не в development же мне писать, какая разница сколько звездочек, что они вообще показывают (интенсивность флуда и длительность регистрации, всё)

Никаких специальных NATов не городили, просто обычная конторская сеть с админом-виндузятником в отпуске, что он там настроит с телефона - о каком тут осилили-неосилили может идти речь?

Еще претензии есть?

I-Love-Microsoft ★★★★★
() автор топика
Ответ на: комментарий от Dark_SavanT

Спасибо, вот это наглядно, сразу ясно что к чему относится. Имя пользователя winsucks это мой локальный логин? А elbrusrulez я так понимаю на сервере

I-Love-Microsoft ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Zerotier One или Tailscale

Вот это интересная тема, тоже надо попробовать. Может даже предпочтительнее чем reverse ssh

I-Love-Microsoft ★★★★★
() автор топика
Последнее исправление: I-Love-Microsoft (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

Претензий и не было, я примерно так себе целевую аудиторию Эльбруса и представлял.

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

Давно бы впн подняли через копеечный вдс да и все, или Эльбрус и в впн клиент не умеет?

anonymous
()
Ответ на: комментарий от pinachet

Да не... Я спрашивал

Zerotier One

Работает автономно? Имеешь свой ID - сервер?

Bootmen ☆☆☆
()
Ответ на: комментарий от anonymous

Претензий нет, но попытка оскорбить есть. Возможность использовать легальный VPN для доступа на машину рассматривали, но нам требовалось быстрое временное решение на 2 недели, пока все сотрудники не вышли на работу из удаленки

После создания темы решение было найдено так, как я это описал выше. Возможно, если бы не нашли, VPN стал бы следующим шагом, потому что reverse ssh немного не удобно, другим тоже нужен доступ не только мне (возможно rev ssh это позволяет)

Вы не ту себе жертву выбрали чтобы пиписькой мериться, для меня знания и опыт не являются доказательством превосходства, это просто инструмент решения задач

I-Love-Microsoft ★★★★★
() автор топика
Ответ на: комментарий от pinachet

Если вопрос мне, то просто по требованию заказчика готовимся предоставить своё ПО на этой платформе, не только ПО но и работу с оборудованием. Без конкретики сферы деятельности

I-Love-Microsoft ★★★★★
() автор топика
Ответ на: комментарий от pinachet

16св обещают 2021+, там будет аппаратная виртуализация, которая мне не нужна, но кому то нужна наверное

В общем, до меня добралось это чудо техники, я вижу что это не «рисунки союзмультфильма», на одной конфе мне это достали из рамки и «даже потрогать дали» процессор (было приятно как сиськи 5 размера), теперь задача освоить, отладить своё ПО там, может тесты погонять, но это потом

Может отдельную тему создам

I-Love-Microsoft ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.