Proxytunnel, stunnel et POODLE

Le
David BERCOT
Bonjour,

Pour égayer votre soirée, en parallèle des échanges aut=
our de systemd,
j'ai une petite question annexe

J'utilise, afin de créer un tunnel HTTPS, proxytunnel sur le client et
stunnel sur le serveur. Jusqu'à vendredi dernier, tout fonctionnait
très bien

Or, suite à la faille POODLE, stunnel a été mis à jour =
(passage en
version 3:5.06-2). Cette mise à jour (je ne sais pas s'il s'agit du
seul changement) bloque à présent SSL en v2 et en v3 !!!
A priori, il ne reste donc plus que TLSv1.

Le problème est que, sûrement à cause de son âge (la de=
rnière MAJ date
de 2008), proxytunnel ne gère apparemment que SSL.
Une alternative, corkscrew, souffre apparemment du même problème.=
..

Bref, je ne vois pas de solution !!!

Je suis temporairement revenu à la version précédente (que j=
'ai fixé
via du pinning) de stunnel, mais ce n'est pas une solution viable
sur la durée

Auriez-vous une piste de contournement ?
Un autre outil que proxytunnel ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20141022190102.10fa9671@debian-david
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gaël
Le #26316863
hello,


Auriez-vous une piste de contournement ?
Un autre outil que proxytunnel ?



et bien, stunnel sur le client ?
c'est ce que je fais moi.

mais peut-être que tu ne nous as pas tout dit ?


Gaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAGKqBrniZQvbRO4gtt+
David BERCOT
Le #26316865
Le Wed, 22 Oct 2014 19:18:48 +0200,
Gaël
hello,

> Auriez-vous une piste de contournement ?
> Un autre outil que proxytunnel ?

et bien, stunnel sur le client ?
c'est ce que je fais moi.



Ah ben oui tiens, présenté comme ça ;-)

mais peut-être que tu ne nous as pas tout dit ?



En fait, ça me sert à encapsuler un flux SSH.
Le serveur fait la désencapsulation puis passe le nouveau flux à sslh
qui détermine s'il s'agit de HTTP ou de SSH. Voilà.

Donc, si on peut utiliser stunnel en client pour encapsuler du SSH, ça
me va très bien...
Je n'ai plus qu'à trouver la méthode ;-)

Gaël



Merci.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Gaël
Le #26316910
En fait, ça me sert à encapsuler un flux SSH.
Le serveur fait la désencapsulation puis passe le nouveau flux à sslh
qui détermine s'il s'agit de HTTP ou de SSH. Voilà.

Donc, si on peut utiliser stunnel en client pour encapsuler du SSH, ça
me va très bien...
Je n'ai plus qu'à trouver la méthode ;-)



bah, sur ton serveur :









compression = zlib

# Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

TIMEOUTclose = 0

cert = /etc/stunnel/ssl.pem
pid = /var/run/stunnel.pid
output = /var/log/stunnel

[sslh]
accept=<port externe>
connect7.0.0.1:<sslh port>
<<<<

Ton client :










compression = zlib

#debug = 7
#output = /var/log/stunnel4/debug7.log

[tunnel]
client = yes
accept = <port-local>
connect = <ip-serveur>:<port-externe>
<<<<

Et tu fais passer ssh et http par le proxy sock localhost:<port-local>


Hésite pas si t'as un soucis :)

Gaël




Gaël



Merci.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAGKqBrnTZ+UrTjC-Ept=2m+d+
Publicité
Poster une réponse
Anonyme