LINUX.ORG.RU

Завернуть ssh туннель.

 , , ,


0

2

Есть клиент за nat. Есть выход только на порты 443 и 80. Сервер с ssh на 443 работал (авторизация по ключу). Теперь работает не так. Надо дальше заворачивать. Есть дальше сервер, но на нём 443 занят. Как это красиво разрулить через промежуточный? Туннелями или маршрутизацией? И не потерять авторизацию по ключу. Или вообще всё неправильно?


Ответ на: комментарий от Pyzia

Тут говорят «Действие REDIRECT предназначено для перенаправления пакетов с одного набора портов на другой внутри одной системы, не выходя за пределы хоста. » А надо грубо с 22 промежуточного перенаправить на 22 следующего.

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

Может я что-то не так понял, у вас есть сеть из (грубо говоря) трёх хостов, где первый-нат с открытым наружу портом 443 (А), второй-промежуточный шлюз(Б) и третий-целевой хост(В). Вам нужно переправить пакеты с ната на шлюз, с шлюза на конечный хост, при этом на Б вам нужно перенаправить пакеты с 443 порта на любой другой, а В заставить слушать этот новый порт на Б. Для этого и нужно юзать редирект.

Pyzia ★★★★★
()

Успокойся и объясни ещё раз

zolden ★★★★★
()
Ответ на: комментарий от targitaj

Запрещена установка ПО на Первом компе. Там Китя.

TepakoT
() автор топика
Ответ на: комментарий от Pyzia

Эмм... Говорим об одном и том же, а как-то не вытанцовывается.

Так было:

kitty_443->NAT_443->RU_router_443->RU_server_22

Надо: kitty_443->NAT_443->RU_router_443->RU_server_22->VPS_IT_22

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

Всё ещё актуально. Только схему надо поменять, перемудрил: putty_socks5->NAT_443->RU_SSH->IT_Socks5. То есть даже ssh не надо, нужно путтипользователя закинуть на сокс5 на vps. Только ничего не меняя, одного пользователя, я не собираюсь всё ломать из-за одного, у меня-то всё норм, softetherы всякие, все дела. Им как раз и занят 443 на VPS, мне нужнее.

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

kitty_443->NAT_443->RU_router_443->RU_server_22->VPS_IT_22

putty_socks5->NAT_443->RU_SSH->IT_Socks5

напишите IPшники машин и на каких машинах есть доступ к iptables и вам напишут правило. А то так ничего не понятно.

Скорее всего вам достаточно NAT

samson ★★
()
Ответ на: комментарий от TepakoT

Вам надо, все запросы извне на X.X.X.X:1080 перенаправить на Z.Z.Z.Z:60080, так?

y.y.y.y - шлюз в инет? если так, то все на нем надо делать.

z.z.z.z - внутренний адрес?

Какую роль в этой схеме выполняет микротик вообще не ясно.

x.x.x.x и y.y.y.y находятся в разных сетях, разделенных интернетом?

samson ★★
()
Ответ на: комментарий от samson

Вам надо, все запросы извне на X.X.X.X:1080 перенаправить на Z.Z.Z.Z:60080, так?

X.X.X.X белый IP той сети. У него на putty да, 1080, но выход только 80 и 443, поэтому ssh поднят на 443.

y.y.y.y - шлюз в инет? если так, то все на нем надо делать.

Облачка - разные сети, Y.Y.Y.Y мой домашний.

z.z.z.z - внутренний адрес?

Все адреса белые. Z.Z.Z.Z белый IP моего VPS Aruba Cloud в Италии. YY мой белый домашний. XX возможно серый сети в другом городе.

Какую роль в этой схеме выполняет микротик вообще не ясно.

В своей локальной сети я могу сразу на микротике завернуть его запросы на арубу если это возможно. Так даже чище будет ибо ради него я не собираюсь свою настроенную схему ломать. Поэтому и 443 на арубе не назначить, я себе сделал на нём SoftEther и ломать не собираюсь.

x.x.x.x и y.y.y.y находятся в разных сетях, разделенных интернетом?

Три облачка - разные сети. Человек сидит в другом городе в конторе где нельзя ставить программы и выход только http и https. Portable putty делает ему туннель, у него socks5 ко мне на ssh, 443 порт на терминале, проброс на 22 ssh моего сервера. Теперь понадобилось выйти из рамок моего сервера и добраться до арубы в Италии. 443 порт на арубе занят моим SoftEther и мои потребности важнее для меня. Поэтому ищу обходные пути. Это или перенаправление socks5 или заброс человека на ssh арубы через меня. Ещё бы авторизацию по ключу не потерять.

Теперь понятнее? Вам благодарность от всех пользователей такого обхода за раскрытие, а мне от админов сетей за подробное описание.

TepakoT
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.