OpenVPN

B. Graignic <truc@machin.com> wrote:

Je suis à côté de mes pompes, j'étais persuadé de l'avoir envoyé.
Alzheimer est là, quel est son prénom déjà ?


Alosius !
Ouf, c'est pas encore trop grave !

Si ;-)

<http://en.wikipedia.org/wiki/Alois_Alzheimer>

Alois Alzheimer, tu avais juste mémorisé l'air sans les paroles... ;-)

> > Sur les 2 j'ai Little Snitch mais ce logiciel surveille les sorties, il
> > me semble.
>
> Oui, mais là les choses se compliquent. Pour tes essais, je te
> conseillerais de désactiver Little Snitch tout au moins sur le PB G4.

normalement j'ai autoriser SSH Tunnel Manager à sortir par le port 22
pour apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr, sans doute le noeud
de connexion internet.
Pour le terminal, il est autorisé pour toutes les connexions en port 22.

Je suppose que tu parles des réglages de Little Snitch. Cela dit, mais
je ne connais pas bien Little Snitch, AMHA SSH Tunnel Manager n'est
qu'un GUI qui manipule ssh et devrait être transparent vis à vis de
Little Snitch. Vérification faite, sans doute non, il doit utiliser son
propre client ssh '/Applications/SSH Tunnel Manager 2.0/SSH Tunnel
Manager.app/Contents/Resources/ssh' et donc Little Snitch doit le voir.

> > [snip]
>
> > > Ton G5 est en Mac OS X 10.5.x, il me semble. Là je n'ai pas trop creusé
> > > la question pour savoir comment il faut le régler pour faire des tunnels
> > > sachant qu'à la différence des versions précédentes il filtre en entrée
> > > et en sortie il me semble.
> >
> > Je travaille avec 10.4.11 sur les 2 machines parce que j'ai besoin de
> > Classic.
>
> OK
>
> > Heureusement que je suis en 1/2 retraite.
> >
> > ***************************
> > Prof-PB15:~ bebert$ netstat -an
> > Active Internet connections (including servers)
> > Proto Recv-Q Send-Q Local Address Foreign Address
> > (state)
> > tcp4 0 0 192.168.2.103.50872 90.50.25.66.22
> > ESTABLISHED
>
> La connexion ssh avec le "LAN du G5".

Est-ce à ce niveau que je devrais avoir une formulation des ports
inverse ?
tcp4 0 0 192.168.2.103.22 90.50.25.66.50872
ESTABLISHED

Oui.

> > tcp4 0 0 192.168.2.103.50630 193.252.117.146.80
> > LAST_ACK
> > tcp4 0 0 192.168.2.103.50619 193.252.117.146.80
> > LAST_ACK
> > tcp4 0 0 192.168.2.103.65324 129.89.61.70.80
> > CLOSE_WAIT
>
> Des connexions http diverses en attente de fermeture.
>
> > tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015
> > ESTABLISHED
> > tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033
> > ESTABLISHED
> > tcp4 0 0 127.0.0.1.31416 127.0.0.1.49388
> > ESTABLISHED
> > tcp4 0 0 127.0.0.1.49388 127.0.0.1.31416
> > ESTABLISHED
> > tcp4 0 0 *.31416 *.*
> > LISTEN
>
> ?? qui écoute sur ce port ?

comment savoir ?

sudo lsof -i4 | grep ESTABLISHED

Pour le détail voir:

man lsof

> > tcp4 0 0 *.548 *.*
> > LISTEN
> > tcp46 0 0 *.548 *.*
> > LISTEN
>
> Le serveur AFP du PB G4 écoute.
>
> > tcp4 0 0 *.631 *.*
> > LISTEN
>
> Partage d'imprimante activé ?
>
> > tcp4 0 0 *.23052 *.*
> > LISTEN
>
> ?? qui ?`

idem...

> > [snip]
>
> La "machinerie" NetInfo.
>
> > tcp4 0 0 *.22 *.*
> > LISTEN
> > tcp6 0 0 *.22 *.*
> > LISTEN
>
> Le serveur SSH du PB G4 est actif.
>
> > tcp4 0 0 *.515 *.*
> > LISTEN
> > tcp6 0 0 *.515 *.*
> > LISTEN
>
> OK, du partage d'imprimante en protocole LPD/LPR.

plusieurs imprimantes : 2 ethernet et 1 usb qui sont vues par les 2
ordinateurs lorsque je suis sur le réseau du bureau.

???

Pas clair... Ce listing est bien celui dt PB G4 qui n'est pas sur le
réseau de ton bureau ?

> > tcp4 0 0 *.21 *.*
> > LISTEN
> > tcp6 0 0 *.21 *.*
> > LISTEN
>
> Le serveur FTP est en fonctionnement.
>
> Visiblement tu aimes bien "tout cocher"... ;-)

Que veux-tu dire ?

Si utilises OK, si tu n'utilises pas mieux vaut éteindre ce serveur,
difficile à sécuriser dans le cas d'une utilisation derrière un routeur.

> > [snip]
>
> Bon, dans ce que tu me montres, aucune preuve de l'établissement d'un
> tunnel ssh. Voir mon post Message-ID:
> <1j4048x.q9ci6dzn5puoN%jperrocheau@mac.com.invalid>, pour te faire une
> idée de ce que tu devrais voir (attention c'est un cas un peu
> particulier, tunnel ssh sur sa propre adresse IP).

je devrais avoir quelle adresse ?

Tu devrais avoir un truc du genre:

netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN

Voila l'ecoute en AFP sur le port "forwardé" (10548).

tcp4 0 0 192.168.2.103.50872 90.50.25.66.22
ESTABLISHED
tcp4 0 0 192.168.0.102.22 90.50.25.66.22.50872
ESTABLISHED


Si dans SSH Tunnel Manager tu as fait un tunnel ssh pour rédiriger en
local le port 548 "distant" sur le port 10548 "local".

> AMHA, un "firewall" tierce partie interfère.

Mon installation :
Bureau : G5 + Livebox avec le port 22 ouvert (j'ai stoppé Littlesnitch)

Il faudrait que tu listes ici les règles de PAT (Port Address
Translation) et les réglages du firewall de la Livebox, eventuellement
les réglages du firewall de Mac OS X 10.4.11, si tu l'utilises.

Maison : PB G4 + Linksys WRT 54 GL
où, sur ce dernier, le Firewall est coché sur les éléments suivants :
Block Portscans

Block Anonymous Internet Requests
Filter Multicast
Filter Internet NAT Redirection
Filter IDENT(Port 113)

Je ne connais pas assez le Linksys WRT 54 GL pour te dire si c'est
correct.

et en VPN en autorisé
IPSec Passthrough
PPTP Passthrough
L2TP Passthrough

Pour faire un tunnel SSH on n'utilise pas ces protocoles de plus bas
niveau.

les machines autorisées à se connecter à ce réseau sont répertoriées par
leur adresse MAC.

sur le Linksys WRT 54 GL connecté au PB G4 ?

et enfin la Freebox

C'est ce que tu utilises "chez toi" (PB G4) ?

Utilisé comme simple modem, le Linksys WRT 54 GL faisant office de
routeur ?

une fois établi la connexion avec SSH dans le terminal, j'ai essayé :
afp://localhost:548
donne Echec de la connexion, "Ce serveur de fichiers est en fonction sur
votre ordinateur. Veuillez accéder aux volumes et fichiers localement."

Donc tu n'as pas créé le tunnel SSH attendu.

--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

B. Graignic <truc@machin.com> wrote:

> Je suis à côté de mes pompes, j'étais persuadé de l'avoir envoyé.
> Alzheimer est là, quel est son prénom déjà ?
>
>
> Alosius !
> Ouf, c'est pas encore trop grave !

Si ;-)

<http://en.wikipedia.org/wiki/Alois_Alzheimer>

Alois Alzheimer, tu avais juste mémorisé l'air sans les paroles... ;-)

Aloysius est correct aussi (15800 réponses dans Google contre 103000, et
la page que tu cites donne les deux prénoms). Mais pas "alosius".


--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE

JiPaul <blanc@empty.org> wrote:

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

> B. Graignic <truc@machin.com> wrote:
>
> > Je suis à côté de mes pompes, j'étais persuadé de l'avoir envoyé.
> > Alzheimer est là, quel est son prénom déjà ?
> >
> >
> > Alosius !
> > Ouf, c'est pas encore trop grave !
>
> Si ;-)
>
> <http://en.wikipedia.org/wiki/Alois_Alzheimer>
>
> Alois Alzheimer, tu avais juste mémorisé l'air sans les paroles... ;-)

Aloysius est correct aussi (15800 réponses dans Google contre 103000, et
la page que tu cites donne les deux prénoms). Mais pas "alosius".

oublié 1 lettre sur 8 : 13% de perte. :->

--
B. Graignic
enlever-bgraig@wanadoo.fr
http://pagesperso-orange.fr/fontguyon.antignac/

B. Graignic <truc@machin.com> wrote:

oublié 1 lettre sur 8 : 13% de perte. :->

Et oui. Mais c'est le début de la fin ;-)

--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

Je relance ;-)

etstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN

Voila l'ecoute en AFP sur le port "forwardé" (10548).

tcp4 0 0 192.168.2.103.50872 90.50.25.66.22
ESTABLISHED
tcp4 0 0 192.168.0.102.22 90.50.25.66.22.50872
ESTABLISHED

Je rectifie, dans l'exemple que je donnais, je faisais un tunnel sur ma
propre machine, cela doit être un peu particulier et un netstat -an
donne:


% netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN

Voila l'ecoute en AFP sur le port "forwardé" (10548).

tcp4 0 0 192.168.0.102.22 192.168.0.102.49880
ESTABLISHED
tcp4 0 0 192.168.0.102.49880 192.168.0.102.22
ESTABLISHED

Je viens de refaire la manip entre deux machines de mon LAN et cela
donne:

$ netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN
tcp6 0 0 ::1.10548 *.*
LISTEN

Ici j'ai deux lignes car je suis sous Mac OS X 10.5.x (idem pour Mac OS
X 10.4.x), le serveur AFP de ces versions écoute en IPv4 et en IPv6.
sur la version 10.2.8 de Mac OS X, il n'écoute qu'en IPv4.

tcp4 0 0 10.0.1.6.50332 10.0.1.2.22
ESTABLISHED

La connexion ssh avec la machine 10.0.1.2.



--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

Je relance ;-)

> etstat -an
> Active Internet connections (including servers)
> Proto Recv-Q Send-Q Local Address Foreign Address
> (state)
> tcp4 0 0 127.0.0.1.10548 *.*
> LISTEN
>
> Voila l'ecoute en AFP sur le port "forwardé" (10548).
>
> tcp4 0 0 192.168.2.103.50872 90.50.25.66.22
> ESTABLISHED
> tcp4 0 0 192.168.0.102.22 90.50.25.66.22.50872
> ESTABLISHED

Je rectifie, dans l'exemple que je donnais, je faisais un tunnel sur ma
propre machine, cela doit être un peu particulier et un netstat -an
donne:


% netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN

Voila l'ecoute en AFP sur le port "forwardé" (10548).

tcp4 0 0 192.168.0.102.22 192.168.0.102.49880
ESTABLISHED
tcp4 0 0 192.168.0.102.49880 192.168.0.102.22
ESTABLISHED

Je viens de refaire la manip entre deux machines de mon LAN et cela
donne:

$ netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN
tcp6 0 0 ::1.10548 *.*
LISTEN

Ici j'ai deux lignes car je suis sous Mac OS X 10.5.x (idem pour Mac OS
X 10.4.x), le serveur AFP de ces versions écoute en IPv4 et en IPv6.
sur la version 10.2.8 de Mac OS X, il n'écoute qu'en IPv4.

tcp4 0 0 10.0.1.6.50332 10.0.1.2.22
ESTABLISHED

La connexion ssh avec la machine 10.0.1.2.

je reviens en arrière :
Sur le PB G4 à la maison :
Le Lynksys WRT 54 GL et la Feebox
Sur le Linksys qui fait routeur, les machines sont autorisées sur le
réseau maison par leur adresse Mac et une IP fixe.
Pour Little Snitch, je l'ai stoppé sur le G5 et sur le PB G4 j'ai
autorisé SSH Tunnel Manager via ssh :
action: allow
process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
Tunnel Manager
via: /usr/bin/ssh
destination: apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr
port: 22
protocol: 6
help: wants to connect to
apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).

et aussi :

action: allow
process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
Tunnel Manager
via: /usr/bin/ssh
destination: graignic.isa-geek.com
port: 22
protocol: 6
help: wants to connect to graignic.isa-geek.com on TCP port 22 (ssh).

et pour

Terminal via ssh :
process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
via: /usr/bin/ssh
destination: any
port: 22
protocol: 6
help: wants to connect to
apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).
action: allow
et aussi
process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
via: /usr/bin/curl
destination: any
port: 80
protocol: 6
help: wants to connect to svn.openvpn.net on TCP port 80 (http).


Je reprends :
J'ouvre SSH Tunnel manager, je fais connexion, mot de passe et le
lumignon est vert.
J'ouvre le terminal et j'entre :
netstat -an
ce qui ne me donne :
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 192.168.2.103.59899 86.205.149.232.22
ESTABLISHED
tcp4 0 0 192.168.2.103.59896 86.205.149.232.22
ESTABLISHED
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015
ESTABLISHED
tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033
ESTABLISHED
tcp4 0 0 *.23052 *.*
LISTEN
tcp4 0 0 *.548 *.*
LISTEN

ce coup là je vois 2 fois la même ligne mais ne correspond pas à ce que
tu me montres.
J'ai refais la manip et j'obtiens la même chose. J'ai coupé la connexion
dans SSH Tunnel et remise et là je n'ai qu'une ligne mais pas de retour.

Je ferme tout et je fais autre chose, je lance le terminal et j'écris :
Prof-PB15:~ brice$ ssh brice@graignic.isa-geek.com
et après le password j'ai :
g5-160:~ brice$
donc je suis en connexion avec le G5 (?)

Il faudrait que tu listes ici les règles de PAT (Port Address
Translation) et les réglages du firewall de la Livebox, eventuellement
les réglages du firewall de Mac OS X 10.4.11, si tu l'utilises.

je regarderai demain matin, pour le Firewall je pense qu'il se
déconnecte automatiquement quand on utilise Little Snitch. Du moins il
est à "Démarrer" sur le PB G4.

PS : comment fait-on pour sortir du man ?
--
B. Graignic
enlever-bgraig@wanadoo.fr
http://pagesperso-orange.fr/fontguyon.antignac/

B. Graignic <truc@machin.com> wrote:

je reviens en arrière :
Sur le PB G4 à la maison :
Le Lynksys WRT 54 GL et la Feebox
Sur le Linksys qui fait routeur, les machines sont autorisées sur le
réseau maison par leur adresse Mac et une IP fixe.
Pour Little Snitch, je l'ai stoppé sur le G5 et sur le PB G4 j'ai
autorisé SSH Tunnel Manager via ssh :

Ce que tu décrits ci-après, sont-ce des réglages de Little Snitch ?

action: allow
process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
Tunnel Manager
via: /usr/bin/ssh
destination: apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr

Oui mais ce nom d'hôte risque de change à chaque connexion...

port: 22
protocol: 6
help: wants to connect to
apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).

Idem, mais si tu dis que tu as désactivé Little Snitch sur les deux
machines....

D'ailleurs es-tu vraiment sûr qu'ils sont désactivés ?

et aussi :

action: allow
process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
Tunnel Manager
via: /usr/bin/ssh
destination: graignic.isa-geek.com
port: 22
protocol: 6
help: wants to connect to graignic.isa-geek.com on TCP port 22 (ssh).

et pour

Terminal via ssh :
process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
via: /usr/bin/ssh
destination: any
port: 22
protocol: 6
help: wants to connect to
apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).
action: allow
et aussi
process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
via: /usr/bin/curl
destination: any
port: 80
protocol: 6
help: wants to connect to svn.openvpn.net on TCP port 80 (http).

Comme je n'utilise pas Little Snitch, je n'ai pas d'opinion...

Je reprends :
J'ouvre SSH Tunnel manager, je fais connexion, mot de passe et le
lumignon est vert.
J'ouvre le terminal et j'entre :
netstat -an
ce qui ne me donne :
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 192.168.2.103.59899 86.205.149.232.22
ESTABLISHED
tcp4 0 0 192.168.2.103.59896 86.205.149.232.22
ESTABLISHED

Deux connexions ssh... d'où vient la deuxième ? En soit ce n'est pas
génant.

tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015
ESTABLISHED
tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033
ESTABLISHED
tcp4 0 0 *.23052 *.*
LISTEN
tcp4 0 0 *.548 *.*
LISTEN

Ici ce serait bien que tu me listes le réglage que tu utilises dans "SSH
Tunnel manager", car avec cette simple ligne je ne peux pas me
prononcer. Dans le réglage d'un tunnel AFP ou autre tu as deux
solutions, soit rediriger sur le même port que le port standard d'AFP
c'est à dire 548 mais alors il faut éteindre le serveur AFP du
"localhost" soit tu choisis de le laisser en marche et tu dois chosir un
autre port, c'est la raison de la valeur 10548 que je te suggérais dans
un post précédent. On peut alors faire de l'AFP tunnelisé sur le port
10548 tout en laissant la possibilité aux autres machines du LAN de
faire de l'AFP sur le port 548 avec le PB G4 dans le cas qui nous
intéresse.

ce coup là je vois 2 fois la même ligne mais ne correspond pas à ce que
tu me montres.
J'ai refais la manip et j'obtiens la même chose. J'ai coupé la connexion
dans SSH Tunnel et remise et là je n'ai qu'une ligne mais pas de retour.

Que veut dire "pas de retour" ?

Je ferme tout et je fais autre chose, je lance le terminal et j'écris :
Prof-PB15:~ brice$ ssh brice@graignic.isa-geek.com
et après le password j'ai :
g5-160:~ brice$
donc je suis en connexion avec le G5 (?)

Oui tu ouvres une autre connexion ssh mais pas un tunnel SSH.

Comprends-tu la différence ?

>Il faudrait que tu listes ici les règles de PAT (Port Address
>Translation) et les réglages du firewall de la Livebox, eventuellement
>les réglages du firewall de Mac OS X 10.4.11, si tu l'utilises.

je regarderai demain matin, pour le Firewall je pense qu'il se
déconnecte automatiquement quand on utilise Little Snitch.

???
Je n'en suis pas convaincu. AMHA Little Snitch est très indépendant du
firewall de Mac OS X 10.4.x.

Du moins il est à "Démarrer" sur le PB G4.

Donc il est éteint sur le PB G4

PS : comment fait-on pour sortir du man ?

Cela dépend du type de Terminal que tu utilises, vt100 ou vt102,
xterm,...

Personnellement j'utilise vt102, et poour sortir du man il suffit soit
d'aller jusqu'au bout de l'article avec la touche [espace] ou si l'on
veut sortir avant la fin de taper q.


--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

B. Graignic <truc@machin.com> wrote:

> je reviens en arrière :
> Sur le PB G4 à la maison :
> Le Lynksys WRT 54 GL et la Feebox
> Sur le Linksys qui fait routeur, les machines sont autorisées sur le
> réseau maison par leur adresse Mac et une IP fixe.
> Pour Little Snitch, je l'ai stoppé sur le G5 et sur le PB G4 j'ai
> autorisé SSH Tunnel Manager via ssh :

Ce que tu décrits ci-après, sont-ce des réglages de Little Snitch ?

oui

> action: allow
> process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
> Tunnel Manager
> via: /usr/bin/ssh
> destination: apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr

Oui mais ce nom d'hôte risque de change à chaque connexion...

je pense pas car Little Snitch ne redemande pas d'autorisation et laisse
tout sortir

> port: 22
> protocol: 6
> help: wants to connect to
> apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).

Idem, mais si tu dis que tu as désactivé Little Snitch sur les deux
machines....

D'ailleurs es-tu vraiment sûr qu'ils sont désactivés ?

à 95% puisque j'ai cliqué sur Stop mais, "The Little Snitch
Configuration will now quit. However, the Network Filter will continue
to operate in the background, so it is not necessary to keep the
configuration application running.

You can restart the configuration application at any time from your
Applications folder"
On voit les connexions dans le Network Monitor mais je ne pense pas que
les règles agissent.

> et aussi :
>
> action: allow
> process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
> Tunnel Manager
> via: /usr/bin/ssh
> destination: graignic.isa-geek.com
> port: 22
> protocol: 6
> help: wants to connect to graignic.isa-geek.com on TCP port 22 (ssh).
>
> et pour
>
> Terminal via ssh :
> process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
> via: /usr/bin/ssh
> destination: any
> port: 22
> protocol: 6
> help: wants to connect to
> apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).
> action: allow
> et aussi
> process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
> via: /usr/bin/curl
> destination: any
> port: 80
> protocol: 6
> help: wants to connect to svn.openvpn.net on TCP port 80 (http).


Comme je n'utilise pas Little Snitch, je n'ai pas d'opinion...

je l'utilise surtout pour les logiciels qui correspondent avec leur
concepteur sans le dire et sans indiquer en retour les mises-à-jour.

> Je reprends :
> J'ouvre SSH Tunnel manager, je fais connexion, mot de passe et le
> lumignon est vert.
> J'ouvre le terminal et j'entre :
> netstat -an
> ce qui ne me donne :
> Active Internet connections (including servers)
> Proto Recv-Q Send-Q Local Address Foreign Address
> (state)
> tcp4 0 0 192.168.2.103.59899 86.205.149.232.22
> ESTABLISHED
> tcp4 0 0 192.168.2.103.59896 86.205.149.232.22
> ESTABLISHED

Deux connexions ssh... d'où vient la deuxième ? En soit ce n'est pas
génant.

> tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015
> ESTABLISHED
> tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033
> ESTABLISHED
> tcp4 0 0 *.23052 *.*
> LISTEN
> tcp4 0 0 *.548 *.*
> LISTEN

Ici ce serait bien que tu me listes le réglage que tu utilises dans "SSH
Tunnel manager", car avec cette simple ligne je ne peux pas me
prononcer.

Login : Brice
Hôte : graignic.geek.com
Port : 22
Options : sont cochés "Gérer l'authentification" et "Activer la
compression" ; criptage : 3des
La ligne de commande dit : ssh -N -p 22 -C -c 3des
brice@graignic.geek.com

Dans le réglage d'un tunnel AFP ou autre tu as deux
solutions, soit rediriger sur le même port que le port standard d'AFP
c'est à dire 548 mais alors il faut éteindre le serveur AFP du
"localhost" soit tu choisis de le laisser en marche et tu dois chosir un
autre port, c'est la raison de la valeur 10548 que je te suggérais dans
un post précédent. On peut alors faire de l'AFP tunnelisé sur le port
10548 tout en laissant la possibilité aux autres machines du LAN de
faire de l'AFP sur le port 548 avec le PB G4 dans le cas qui nous
intéresse.

j'ai décoché dans le PB G4 le serveur afp, demain je vérifie sur le G5

> ce coup là je vois 2 fois la même ligne mais ne correspond pas à ce que
> tu me montres.
> J'ai refais la manip et j'obtiens la même chose. J'ai coupé la connexion
> dans SSH Tunnel et remise et là je n'ai qu'une ligne mais pas de retour.

Que veut dire "pas de retour" ?

après l'entrée du mot de passe, l'index se met à la ligne suivante et
n'en bouge plus.
On peut ajouter des caractères, mais aucune action !

> Je ferme tout et je fais autre chose, je lance le terminal et j'écris :
> Prof-PB15:~ brice$ ssh brice@graignic.geek.com
> et après le password j'ai :
> g5-160:~ brice$
> donc je suis en connexion avec le G5 (?)

Oui tu ouvres une autre connexion ssh mais pas un tunnel SSH.

Comprends-tu la différence ?

le tunnel, c'est qu'il n'y a qu'un port ?

si j'écris : ssh -p 22 brice@graignic.geek.com
là je suis sur le port 22, donc je fais un tunnel.

> >Il faudrait que tu listes ici les règles de PAT (Port Address
> >Translation) et les réglages du firewall de la Livebox, eventuellement
> >les réglages du firewall de Mac OS X 10.4.11, si tu l'utilises.
>
> je regarderai demain matin, pour le Firewall je pense qu'il se
> déconnecte automatiquement quand on utilise Little Snitch.

???
Je n'en suis pas convaincu. AMHA Little Snitch est très indépendant du
firewall de Mac OS X 10.4.x.

> Du moins il est à "Démarrer" sur le PB G4.

Donc il est éteint sur le PB G4

> PS : comment fait-on pour sortir du man ?

Cela dépend du type de Terminal que tu utilises, vt100 ou vt102,
xterm,...

et celui livré avec l'Os ?



--
B. Graignic
enlever-bgraig@wanadoo.fr
http://pagesperso-orange.fr/fontguyon.antignac/

B. Graignic <truc@machin.com> wrote:

> Ce que tu décrits ci-après, sont-ce des réglages de Little Snitch ?

oui

> > action: allow
> > process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
> > Tunnel Manager
> > via: /usr/bin/ssh
> > destination: apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr
>
> Oui mais ce nom d'hôte risque de change à chaque connexion...

je pense pas car Little Snitch ne redemande pas d'autorisation et laisse
tout sortir.

Ouep =-O

J'en suis moins sur que toi.

> > port: 22
> > protocol: 6
> > help: wants to connect to
> > apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).
>
> Idem, mais si tu dis que tu as désactivé Little Snitch sur les deux
> machines....
>
> D'ailleurs es-tu vraiment sûr qu'ils sont désactivés ?

à 95% puisque j'ai cliqué sur Stop mais, "The Little Snitch
Configuration will now quit. However, the Network Filter will continue
to operate in the background, so it is not necessary to keep the
configuration application running.

AMHA, les 5% sont là, il continue à fonctionner si je comprends bien
cette phrase.

L'application ne sert qu'à configurer un deamon qui tourne en tâche de
fond et qui doit être conçu pour redémarrer immédiatement, si un intrus
le fait quitter.

You can restart the configuration application at any time from your
Applications folder"
On voit les connexions dans le Network Monitor mais je ne pense pas que
les règles agissent.

Ben oui...

> > et aussi :
> >
> > action: allow
> > process: /Applications/VPN */SSH Tunnel Manager.app/Contents/MacOS/SSH
> > Tunnel Manager
> > via: /usr/bin/ssh
> > destination: graignic.isa-geek.com
> > port: 22
> > protocol: 6
> > help: wants to connect to graignic.isa-geek.com on TCP port 22 (ssh).
> >
> > et pour
> >
> > Terminal via ssh :
> > process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
> > via: /usr/bin/ssh
> > destination: any
> > port: 22
> > protocol: 6
> > help: wants to connect to
> > apoitiers-257-1-58-161.w86-205.abo.wanadoo.fr on TCP port 22 (ssh).
> > action: allow
> > et aussi
> > process: /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
> > via: /usr/bin/curl
> > destination: any
> > port: 80
> > protocol: 6
> > help: wants to connect to svn.openvpn.net on TCP port 80 (http).
>
>
> Comme je n'utilise pas Little Snitch, je n'ai pas d'opinion...

je l'utilise surtout pour les logiciels qui correspondent avec leur
concepteur sans le dire et sans indiquer en retour les mises-à-jour.

Ouep, il ne faut pas être si parano... Dans la mesure où tu utilises un
logiciel c'est que tu dois lui accorder une certaine confiance... Il ne
faut pas toujours voir de noir dessins derrière les hello que lance ces
logiciels vers le site du développeur.

> > Je reprends :
> > J'ouvre SSH Tunnel manager, je fais connexion, mot de passe et le
> > lumignon est vert.
> > J'ouvre le terminal et j'entre :
> > netstat -an
> > ce qui ne me donne :
> > Active Internet connections (including servers)
> > Proto Recv-Q Send-Q Local Address Foreign Address
> > (state)
> > tcp4 0 0 192.168.2.103.59899 86.205.149.232.22
> > ESTABLISHED
> > tcp4 0 0 192.168.2.103.59896 86.205.149.232.22
> > ESTABLISHED
>
> Deux connexions ssh... d'où vient la deuxième ? En soit ce n'est pas
> génant.
>
> > tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015
> > ESTABLISHED
> > tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033
> > ESTABLISHED
> > tcp4 0 0 *.23052 *.*
> > LISTEN
> > tcp4 0 0 *.548 *.*
> > LISTEN
>
> Ici ce serait bien que tu me listes le réglage que tu utilises dans "SSH
> Tunnel manager", car avec cette simple ligne je ne peux pas me
> prononcer.

Login : Brice
Hôte : graignic.geek.com
Port : 22
Options : sont cochés "Gérer l'authentification" et "Activer la
compression" ; criptage : 3des
La ligne de commande dit : ssh -N -p 22 -C -c 3des

Il manque le principal la redirection de port, dans mon exemple cela
donne:

ssh -N -p 22 -C -c 3des moi@10.0.1.2 -L 10548/localhost/548

brice@graignic.geek.com

AMHA, tu as du oublié de lire ce que j'indiquais dans ma première
réponse
Message-ID: <1j3dwq5.e733cv8wifxaN%jperrocheau@mac.com.invalid>

Voir <http://www.cijoint.fr/cjlink.php?file=cj200907/cijxV1Np7h.png>
et <http://www.cijoint.fr/cjlink.php?file=cj200907/cijTcHucjX.png> pour
deux exemples le premier pour de lAFP le second du VNC.

Les deux liens sont toujours valides.

> Dans le réglage d'un tunnel AFP ou autre tu as deux
> solutions, soit rediriger sur le même port que le port standard d'AFP
> c'est à dire 548 mais alors il faut éteindre le serveur AFP du
> "localhost" soit tu choisis de le laisser en marche et tu dois chosir un
> autre port, c'est la raison de la valeur 10548 que je te suggérais dans
> un post précédent. On peut alors faire de l'AFP tunnelisé sur le port
> 10548 tout en laissant la possibilité aux autres machines du LAN de
> faire de l'AFP sur le port 548 avec le PB G4 dans le cas qui nous
> intéresse.

j'ai décoché dans le PB G4 le serveur afp, demain je vérifie sur le G5

> > ce coup là je vois 2 fois la même ligne mais ne correspond pas à ce que
> > tu me montres.
> > J'ai refais la manip et j'obtiens la même chose. J'ai coupé la connexion
> > dans SSH Tunnel et remise et là je n'ai qu'une ligne mais pas de retour.
>
> Que veut dire "pas de retour" ?

après l'entrée du mot de passe, l'index se met à la ligne suivante et
n'en bouge plus.
On peut ajouter des caractères, mais aucune action !

OK, je vois ce que tu fais, là tu es en train d'utiliser le Terminal
avec le commande sensé créer le tunnel et c'est un comportement normal
puisque cette fenêtre est le processus père du tunnel SSH.

Cela dit oublie le Terminal pour le moment, et fait confiance à "SSH
Tunnel Manager", qui est plus facile à utiliser, c'est l'un ou l'autre
pas les deux en même temps.

Je pourrais t'indiquer comment reprendre la main dans une fenêtre de
Terminal qui a lancé un tunnel ssh, mais cela complique la fermeture de
la connexion "tunnel" alors que si l'on accepte de ne pas avoir la main
dans la fenêtre qui a créé le tunnel, il suffit pour arrêter le tunnel
soit de fermer la fenêtre soit (mieux) de faire [control]+c.

> > Je ferme tout et je fais autre chose, je lance le terminal et j'écris :
> > Prof-PB15:~ brice$ ssh brice@graignic.geek.com
> > et après le password j'ai :
> > g5-160:~ brice$
> > donc je suis en connexion avec le G5 (?)
>
> Oui tu ouvres une autre connexion ssh mais pas un tunnel SSH.
>
> Comprends-tu la différence ?

le tunnel, c'est qu'il n'y a qu'un port ?

Non le tunnel te fais apparaitre les deux premières lignes (dans mon
exemple)

$ netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address
(state)
tcp4 0 0 127.0.0.1.10548 *.*
LISTEN
tcp6 0 0 ::1.10548 *.*
LISTEN

Ici j'ai deux lignes car je suis sous Mac OS X 10.5.x (idem pour Mac OS
X 10.4.x), le serveur AFP de ces versions écoute en IPv4 et en IPv6.
sur la version 10.2.8 de Mac OS X, il n'écoute qu'en IPv4.

Ce sont les deux lignes ci-dessus qui montrent que le serveur AFP de la
machine distante (dans mon exemple) a été "redirigé" sur port 10548 de
la machine locale (où je suis).

tcp4 0 0 10.0.1.6.50332 10.0.1.2.22
ESTABLISHED

Ça c'est la connexion ssh qui sert au tunnel.

si j'écris : ssh -p 22 brice@graignic.geek.com
là je suis sur le port 22, donc je fais un tunnel.

> > >Il faudrait que tu listes ici les règles de PAT (Port Address
> > >Translation) et les réglages du firewall de la Livebox, eventuellement
> > >les réglages du firewall de Mac OS X 10.4.11, si tu l'utilises.
> >
> > je regarderai demain matin, pour le Firewall je pense qu'il se
> > déconnecte automatiquement quand on utilise Little Snitch.
>
> ???
> Je n'en suis pas convaincu. AMHA Little Snitch est très indépendant du
> firewall de Mac OS X 10.4.x.
>
> > Du moins il est à "Démarrer" sur le PB G4.
>
> Donc il est éteint sur le PB G4
>
> > PS : comment fait-on pour sortir du man ?
>
> Cela dépend du type de Terminal que tu utilises, vt100 ou vt102,
> xterm,...

et celui livré avec l'OS ?

Je parle bien du Terminal de Mac OS X. vt102, xterm,.... sont des
réglages de celui-ci qui en change le comportement. Dans Mac OS X 10.4.x
voir Préférences dans le menu Fichier, le choix du type de Terminal se
trouve dans un pop-up menu.


--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com