Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Proxytunnel, stunnel et POODLE

3 réponses
Avatar
David BERCOT
Bonjour,

Pour =C3=A9gayer votre soir=C3=A9e, en parall=C3=A8le des =C3=A9changes aut=
our de systemd,
j'ai une petite question annexe...

J'utilise, afin de cr=C3=A9er un tunnel HTTPS, proxytunnel sur le client et
stunnel sur le serveur. Jusqu'=C3=A0 vendredi dernier, tout fonctionnait
tr=C3=A8s bien...

Or, suite =C3=A0 la faille POODLE, stunnel a =C3=A9t=C3=A9 mis =C3=A0 jour =
(passage en
version 3:5.06-2). Cette mise =C3=A0 jour (je ne sais pas s'il s'agit du
seul changement) bloque =C3=A0 pr=C3=A9sent SSL en v2 et en v3 !!!
A priori, il ne reste donc plus que TLSv1.

Le probl=C3=A8me est que, s=C3=BBrement =C3=A0 cause de son =C3=A2ge (la de=
rni=C3=A8re MAJ date
de 2008), proxytunnel ne g=C3=A8re apparemment que SSL.
Une alternative, corkscrew, souffre apparemment du m=C3=AAme probl=C3=A8me.=
..

Bref, je ne vois pas de solution !!!

Je suis temporairement revenu =C3=A0 la version pr=C3=A9c=C3=A9dente (que j=
'ai fix=C3=A9
via du pinning) de stunnel, mais ce n'est pas une solution viable
sur la dur=C3=A9e...

Auriez-vous une piste de contournement ?
Un autre outil que proxytunnel ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20141022190102.10fa9671@debian-david

3 réponses

Avatar
Gaël
hello,


Auriez-vous une piste de contournement ?
Un autre outil que proxytunnel ?



et bien, stunnel sur le client ?
c'est ce que je fais moi.

mais peut-être que tu ne nous as pas tout dit ?


Gaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAGKqBrniZQvbRO4gtt+
Avatar
David BERCOT
Le Wed, 22 Oct 2014 19:18:48 +0200,
Gaël a écrit :
hello,

> Auriez-vous une piste de contournement ?
> Un autre outil que proxytunnel ?

et bien, stunnel sur le client ?
c'est ce que je fais moi.



Ah ben oui tiens, présenté comme ça ;-)

mais peut-être que tu ne nous as pas tout dit ?



En fait, ça me sert à encapsuler un flux SSH.
Le serveur fait la désencapsulation puis passe le nouveau flux à sslh
qui détermine s'il s'agit de HTTP ou de SSH. Voilà.

Donc, si on peut utiliser stunnel en client pour encapsuler du SSH, ça
me va très bien...
Je n'ai plus qu'à trouver la méthode ;-)

Gaël



Merci.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Gaël
En fait, ça me sert à encapsuler un flux SSH.
Le serveur fait la désencapsulation puis passe le nouveau flux à sslh
qui détermine s'il s'agit de HTTP ou de SSH. Voilà.

Donc, si on peut utiliser stunnel en client pour encapsuler du SSH, ça
me va très bien...
Je n'ai plus qu'à trouver la méthode ;-)



bah, sur ton serveur :









compression = zlib

# Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

TIMEOUTclose = 0

cert = /etc/stunnel/ssl.pem
pid = /var/run/stunnel.pid
output = /var/log/stunnel

[sslh]
accept=<port externe>
connect7.0.0.1:<sslh port>
<<<<

Ton client :










compression = zlib

#debug = 7
#output = /var/log/stunnel4/debug7.log

[tunnel]
client = yes
accept = <port-local>
connect = <ip-serveur>:<port-externe>
<<<<

Et tu fais passer ssh et http par le proxy sock localhost:<port-local>


Hésite pas si t'as un soucis :)

Gaël




Gaël



Merci.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAGKqBrnTZ+UrTjC-Ept=2m+d+