Bonjour,
J'ai une machine au bureau derriere une machine directement connectée au
net.
Pour y acceder, je dois donc faire un premier SSH sur celle directement
connectée au Net, puis de là, un autre vers ma machine locale.
J'ai un compte utilisateur simple sur celle directement connectée au net, et
je suis (j'ai la possibilité d'etre) root sur ma machine (la seconde).
J'imagine bien que c'est un problème assez répandu et qu'il existe
certainement un moyen de simplifier les choses. Il me manque juste des mots
clés pour chercher. COmment cet état des chose s'appelle? "double SSH"?...
sysctl -w net.inet.ip.forwarding=1 fait ce qu'il faut sans rebooter.
S'il y a du masquerading dans l'histoire, ce qui m'a l'air assez clair en l'occurrence, ça va être un poil plus complexe, quand même.
ké masquerading ? oh !!!, BSD c'est pas Linux
il me semble bien que cela ne peut fonctionner que si une option de compile du noyo est validée.
c'était le cas sur une FreeBSD 4.5
talon
wrote:
Nicolas George wrote:
sysctl -w net.inet.ip.forwarding=1 fait ce qu'il faut sans rebooter.
S'il y a du masquerading dans l'histoire, ce qui m'a l'air assez clair en l'occurrence, ça va être un poil plus complexe, quand même.
ké masquerading ? oh !!!, BSD c'est pas Linux
il me semble bien que cela ne peut fonctionner que si une option de compile du noyo est validée.
Non, tous les firewalls sont en module maintenant, qui plus est on n'a jamais été obligé d'utiliser le firewall débile qui nécessitait de faire un aller retour en userland pour faire le nat.
c'était le cas sur une FreeBSD 4.5
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui ressemble à cette autre bouse encore plus sombre de iptables.
--
Michel TALON
linuxkiller@linuxfucker.ici.org wrote:
Nicolas George wrote:
sysctl -w net.inet.ip.forwarding=1
fait ce qu'il faut sans rebooter.
S'il y a du masquerading dans l'histoire, ce qui m'a l'air assez clair en
l'occurrence, ça va être un poil plus complexe, quand même.
ké masquerading ?
oh !!!, BSD c'est pas Linux
il me semble bien que cela ne peut fonctionner que si une option
de compile du noyo est validée.
Non, tous les firewalls sont en module maintenant, qui plus est on n'a
jamais été obligé d'utiliser le firewall débile qui nécessitait de faire
un aller retour en userland pour faire le nat.
c'était le cas sur une FreeBSD 4.5
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui
ressemble à cette autre bouse encore plus sombre de iptables.
sysctl -w net.inet.ip.forwarding=1 fait ce qu'il faut sans rebooter.
S'il y a du masquerading dans l'histoire, ce qui m'a l'air assez clair en l'occurrence, ça va être un poil plus complexe, quand même.
ké masquerading ? oh !!!, BSD c'est pas Linux
il me semble bien que cela ne peut fonctionner que si une option de compile du noyo est validée.
Non, tous les firewalls sont en module maintenant, qui plus est on n'a jamais été obligé d'utiliser le firewall débile qui nécessitait de faire un aller retour en userland pour faire le nat.
c'était le cas sur une FreeBSD 4.5
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui ressemble à cette autre bouse encore plus sombre de iptables.
--
Michel TALON
Benoit Izac
Bonjour,
le 10/03/2007 à 09:27, Michel Talon a écrit dans le message <estq5f$28jd$ :
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui ressemble à cette autre bouse encore plus sombre de iptables.
On ne peut pas dire que netfilter soit une bouze mais il est vrai que la syntaxe de son outil de configuration, en l'occurrence iptables, est relativement lourde par rapport à un bijou comme pf. Le gros avantage de netfilter est, à mon avis, tous les modules de conntrack que n'a pas pf et qui sont vraiment utile pour des personnes comme moi qui n'ont qu'une adresse IP et sont donc obligés de passer par du NAT pour que tout le petit monde derrière soit content.
And welcome to the troll ! ;-)
-- Benoit Izac
Bonjour,
le 10/03/2007 à 09:27, Michel Talon a écrit dans le message
<estq5f$28jd$1@asmodee.lpthe.jussieu.fr> :
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw
qui ressemble à cette autre bouse encore plus sombre de iptables.
On ne peut pas dire que netfilter soit une bouze mais il est vrai que la
syntaxe de son outil de configuration, en l'occurrence iptables, est
relativement lourde par rapport à un bijou comme pf. Le gros avantage de
netfilter est, à mon avis, tous les modules de conntrack que n'a pas pf
et qui sont vraiment utile pour des personnes comme moi qui n'ont qu'une
adresse IP et sont donc obligés de passer par du NAT pour que tout le
petit monde derrière soit content.
le 10/03/2007 à 09:27, Michel Talon a écrit dans le message <estq5f$28jd$ :
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui ressemble à cette autre bouse encore plus sombre de iptables.
On ne peut pas dire que netfilter soit une bouze mais il est vrai que la syntaxe de son outil de configuration, en l'occurrence iptables, est relativement lourde par rapport à un bijou comme pf. Le gros avantage de netfilter est, à mon avis, tous les modules de conntrack que n'a pas pf et qui sont vraiment utile pour des personnes comme moi qui n'ont qu'une adresse IP et sont donc obligés de passer par du NAT pour que tout le petit monde derrière soit content.
And welcome to the troll ! ;-)
-- Benoit Izac
Vincent Bernat
OoO La nuit ayant déjà recouvert d'encre ce jour du vendredi 09 mars 2007, vers 23:50, (Luc Habert) disait:
On peut automatiser : ssh -o ProxyCommand="ssh machine-connectee nc %h %p" machine-derriere-firewall
Le ProxyCommand pouvant se mettre dans le .ssh/config, on arrive alors à :
ssh machine-derriere-firewall.
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du tcp over tcp). -- Take care to branch the right way on equality. - The Elements of Programming Style (Kernighan & Plauger)
OoO La nuit ayant déjà recouvert d'encre ce jour du vendredi 09 mars
2007, vers 23:50, lhabert@clipper.ens.fr (Luc Habert) disait:
On peut automatiser :
ssh -o ProxyCommand="ssh machine-connectee nc %h %p" machine-derriere-firewall
Le ProxyCommand pouvant se mettre dans le .ssh/config, on arrive alors
à :
ssh machine-derriere-firewall.
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du
tcp over tcp).
--
Take care to branch the right way on equality.
- The Elements of Programming Style (Kernighan & Plauger)
On peut automatiser : ssh -o ProxyCommand="ssh machine-connectee nc %h %p" machine-derriere-firewall
Le ProxyCommand pouvant se mettre dans le .ssh/config, on arrive alors à :
ssh machine-derriere-firewall.
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du tcp over tcp). -- Take care to branch the right way on equality. - The Elements of Programming Style (Kernighan & Plauger)
Nicolas George
wrote in message <estkbv$p8k$:
ké masquerading ?
http://en.wikipedia.org/wiki/IP-masquerading
oh !!!, BSD c'est pas Linux
Je n'ai pas parlé de Linux. Retourne dormir.
linuxkiller@LinuxFucker.ici.org wrote in message
<estkbv$p8k$1@gyptis.org>:
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du tcp over tcp).
ssh-over-ssh ne fait pas de TCP-over-TCP.
Vincent Bernat
OoO Peu avant le début de l'après-midi du samedi 10 mars 2007, vers 13:23, Nicolas George <nicolas$ disait:
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du tcp over tcp).
ssh-over-ssh ne fait pas de TCP-over-TCP.
Exact. -- BEWITCHED, DOES NOT PROMOTE SATANISM BEWITCHED, DOES NOT PROMOTE SATANISM BEWITCHED, DOES NOT PROMOTE SATANISM -+- Bart Simpson on chalkboard in episode 2F17
OoO Peu avant le début de l'après-midi du samedi 10 mars 2007, vers
13:23, Nicolas George <nicolas$george@salle-s.org> disait:
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du
tcp over tcp).
ssh-over-ssh ne fait pas de TCP-over-TCP.
Exact.
--
BEWITCHED, DOES NOT PROMOTE SATANISM
BEWITCHED, DOES NOT PROMOTE SATANISM
BEWITCHED, DOES NOT PROMOTE SATANISM
-+- Bart Simpson on chalkboard in episode 2F17
OoO Peu avant le début de l'après-midi du samedi 10 mars 2007, vers 13:23, Nicolas George <nicolas$ disait:
Et par rapport au tunnel, cela évite de faire du ssh over ssh (donc du tcp over tcp).
ssh-over-ssh ne fait pas de TCP-over-TCP.
Exact. -- BEWITCHED, DOES NOT PROMOTE SATANISM BEWITCHED, DOES NOT PROMOTE SATANISM BEWITCHED, DOES NOT PROMOTE SATANISM -+- Bart Simpson on chalkboard in episode 2F17
linuxkiller
Michel Talon wrote:
c'était le cas sur une FreeBSD 4.5
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui ressemble à cette autre bouse encore plus sombre de iptables.
Non, c'était le cas puisque j'utilisais ipfw :))
Michel Talon wrote:
c'était le cas sur une FreeBSD 4.5
Non, il suffisait d'utiliser ipfilter au lieu de cette bouse de ipfw qui
ressemble à cette autre bouse encore plus sombre de iptables.