RE: Tunnel SSH et redirection générique pour un port...

Le
Mathieu JANIN
Bonjour,
je me permets d'intervenir parcequ'il me parait qu'il y a un =
problême à la
base:
dis moi si je me trompe, mais tu veux pouvoir par exemple crypter ton
traffic pop avec tes différents services de mail ?
Et bien quoi que tu fasse, tant que tu attaqueras un serveur pop3, il y =
aura
toujours une partie non cryptée, à savoir, de SERV_PRIV vers =
tes differents
serveurs pop, la communication se fera en clair.
Par ailleurs, etant donné que tu n'as pas de masquerading de A =
jusqu'au
serveur pop, les paquets en retour (toujours non cryptés) =
prendront la route
directe vers ta machine A, sans repasser par R ni SERV_PRIV.
Si tu installes un proxy (poproxy, par exemple) sur SERV_PRIV, les =
paquets
reviendront bien jusqu'à ton proxy, mais en non crypté entre =
le proxy et le
serveur pop.
Enfin ce que j'en dis
++

> --Message d'origine--
> De : David BERCOT [mailto:david.bercot@wanadoo.fr]
> Envoyé : mercredi 27 septembre 2006 10:16
> À : Debian [User-French]
> Objet : Re: Tunnel SSH et redirection générique pour un =
port
>
>
> Bonjour,
>
> Le mardi 26 septembre 2006 à 21:00 +0200, Paul Filo a écrit =
:
> > > En tous cas, sachant que la sécurité du =
tunnel SSH me
> convient, si
> > > j'avais un moyen (proxy ?) de pouvoir y faire transiter
> le trafic que je
> > > souhaite (une sélection uniquement !), ça =
me conviendrait
> > > parfaitement
> > >
> > > Merci d'avance pour les indices que vous pourrez me donner ;-)
> >
> > Tu as essayé vtun (http://vtun.sourceforge.net/) ? Tu fais un =
tunnel
> > vtun dans ton tunnel ssh et avec les bonnes routes coté
> client, tu dois
> > pouvoir t'en tirer (ce que tu veux faire n'est pas très =
clair).
>
> J'ai trouvé quelques exemples sur vtun, mais toujours avec 3 =
réseaux
> reliés ensemble et j'ai du mal à adapter tout ça =
à mes besoins
>
> Je vais donc essayer d'expliquer plus clairement mon problème
>
> J'ai un ordinateur A, connecté à Internet.
> J'ai un réseau privé R, dont un serveur SERV_PRIV est =
connecté à
> Internet et accessible via SSH.
> J'arrive donc à faire un tunnel SSH entre ma machine A et mon =
serveur
> SERV_PRIV, sauf que, dans la définition du tunnel, je dois =
préciser
> l'adresse Internet à laquelle je veux me connecter via le =
tunnel.
> Exemple :
> ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110
> Ceci me limite donc, pour le port 110 par exemple, à un seul =
serveur
> accessible via le tunnel (ici, pop.wanadoo.fr).
>
> Or, mon besoin est le suivant :
> - création d'un tunnel SSH entre A et SERV_PRIV
> - ajout de routes spéciales sur certains ports pour que les =
requêtes
> correspondantes passent par SERV_PRIV et ensuite par le réseau R
> A titre d'exemple, ainsi, si je fais une requête sur le port =
110, par
> exemple sur pop.wanadoo.fr, mais aussi sur pop.free.fr, je
> souhaiterais
> que ces deux requêtes passent par mon tunnel puis par le =
réseau R.
>
> Déjà, comme lors de la création de mon tunnel, je =
précise le serveur
> distant (pop.wanadoo.fr dans l'exemple), j'ai un peu de mal à =
voir
> comment modifier tout ça.
>
> Avec les réponses que vous m'avez données, j'imagine bien =
une sorte de
> serveur proxy sur mon serveur SERV_PRIV qui redirigerait les =
requêtes
> qui lui arrivent sur les réseau R (comme il le fait actuellement =
vers
> pop.wanadoo.fr). Dans ce cas, j'établirais, sur mon ordinateur =
A, un
> tunnel avec une syntaxe du genre :
> ssh -N -f SERV_PRIV -L5000:proxy_serv_priv:5000
> Mais alors, que puis-je mettre comme serveur proxy ?
> Et ensuite, comment dire à une requête de passer par ce =
serveur proxy
> (par exemple, dans Evolution, comment lui dire que mon serveur POP =
est
> pop.wanadoo.fr via proxy_serv_priv ?
>
> J'espère avoir été un peu plus clair dans mes =
explications
>
> Merci d'avance.
>
> David.
>
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
David BERCOT
Le #9413741
--=-T4/aCJjArEPN7WvcUxWj
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Re-bonjour,

Le mercredi 27 septembre 2006 à 11:00 +0200, Mathieu JANIN a écri t :
Bonjour,
je me permets d'intervenir parcequ'il me parait qu'il y a un problêm e à la
base:
dis moi si je me trompe, mais tu veux pouvoir par exemple crypter ton
traffic pop avec tes différents services de mail ?



Non, pas du tout. Je veux juste passer par une machine intermédiaire.
Donc, mon trafic sera crypté entre ma machine A et SERV_PRIV, mais pas
entre SERV_PRIV et mon serveur POP (par exemple). Cela ne me pose aucun
problème.
En fait, d'où je suis, je n'ai pas accès au serveur POP. Mais en
utilisant mon tunnel et en passant par SERV_PRIV, là, j'y ai accè s ;-)

Et bien quoi que tu fasse, tant que tu attaqueras un serveur pop3, il y a ura
toujours une partie non cryptée, à savoir, de SERV_PRIV vers te s differents
serveurs pop, la communication se fera en clair.
Par ailleurs, etant donné que tu n'as pas de masquerading de A jusqu 'au
serveur pop, les paquets en retour (toujours non cryptés) prendront la route
directe vers ta machine A, sans repasser par R ni SERV_PRIV.



Là, il ne me semble pas que ce soit le cas... Pour l'instant, j'ai jus te
ceci :
ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110
et ça marche. Si les paquets, au retour, allaient directement du serve ur
de Wanadoo à ma machine, ils n'arriveraient pas. Or, là, je les r eçois
bien...

Si tu installes un proxy (poproxy, par exemple) sur SERV_PRIV, les paquet s
reviendront bien jusqu'à ton proxy, mais en non crypté entre le proxy et le
serveur pop.
Enfin ce que j'en dis...



Tu as raison, je n'avais peut être pas été suffisamment clai r...

David.

++

> -----Message d'origine-----
> De : David BERCOT [mailto:]
> Envoyé : mercredi 27 septembre 2006 10:16
> À : Debian [User-French]
> Objet : Re: Tunnel SSH et redirection générique pour un port. ..
>
>
> Bonjour,
>
> Le mardi 26 septembre 2006 à 21:00 +0200, Paul Filo a écrit :
> > > En tous cas, sachant que la sécurité du tunne l SSH me
> convient, si
> > > j'avais un moyen (proxy ?) de pouvoir y faire transiter
> le trafic que je
> > > souhaite (une sélection uniquement !), ça me conviendrait
> > > parfaitement...
> > >
> > > Merci d'avance pour les indices que vous pourrez me donner ;-)
> >
> > Tu as essayé vtun (http://vtun.sourceforge.net/) ? Tu fais un tu nnel
> > vtun dans ton tunnel ssh et avec les bonnes routes coté
> client, tu dois
> > pouvoir t'en tirer (ce que tu veux faire n'est pas très clair).
>
> J'ai trouvé quelques exemples sur vtun, mais toujours avec 3 rà ©seaux
> reliés ensemble et j'ai du mal à adapter tout ça à mes besoins...
>
> Je vais donc essayer d'expliquer plus clairement mon problème...
>
> J'ai un ordinateur A, connecté à Internet.
> J'ai un réseau privé R, dont un serveur SERV_PRIV est connect é à
> Internet et accessible via SSH.
> J'arrive donc à faire un tunnel SSH entre ma machine A et mon serv eur
> SERV_PRIV, sauf que, dans la définition du tunnel, je dois prà ©ciser
> l'adresse Internet à laquelle je veux me connecter via le tunnel.
> Exemple :
> ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110
> Ceci me limite donc, pour le port 110 par exemple, à un seul serve ur
> accessible via le tunnel (ici, pop.wanadoo.fr).
>
> Or, mon besoin est le suivant :
> - création d'un tunnel SSH entre A et SERV_PRIV
> - ajout de routes spéciales sur certains ports pour que les requ êtes
> correspondantes passent par SERV_PRIV et ensuite par le réseau R
> A titre d'exemple, ainsi, si je fais une requête sur le port 110, par
> exemple sur pop.wanadoo.fr, mais aussi sur pop.free.fr, je
> souhaiterais
> que ces deux requêtes passent par mon tunnel puis par le rése au R.
>
> Déjà, comme lors de la création de mon tunnel, je prà ©cise le serveur
> distant (pop.wanadoo.fr dans l'exemple), j'ai un peu de mal à voir
> comment modifier tout ça.
>
> Avec les réponses que vous m'avez données, j'imagine bien une sorte de
> serveur proxy sur mon serveur SERV_PRIV qui redirigerait les requê tes
> qui lui arrivent sur les réseau R (comme il le fait actuellement v ers
> pop.wanadoo.fr). Dans ce cas, j'établirais, sur mon ordinateur A, un
> tunnel avec une syntaxe du genre :
> ssh -N -f SERV_PRIV -L5000:proxy_serv_priv:5000
> Mais alors, que puis-je mettre comme serveur proxy ?
> Et ensuite, comment dire à une requête de passer par ce serve ur proxy
> (par exemple, dans Evolution, comment lui dire que mon serveur POP est
> pop.wanadoo.fr via proxy_serv_priv ?
>
> J'espère avoir été un peu plus clair dans mes explicatio ns...
>
> Merci d'avance.
>
> David.
>





--=-T4/aCJjArEPN7WvcUxWj
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)

iD8DBQBFGj7GvSnthbGI8ygRAqvgAJ46k/SwRNE2fVh1bbvG9vf0YqRfhwCfUc5q
Wlik/1WHaSbobvjGqYoLJRA =HtkU
-----END PGP SIGNATURE-----

--=-T4/aCJjArEPN7WvcUxWj--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
Le #9413421
On Wed, Sep 27, 2006 at 11:05:10AM +0200, David BERCOT wrote:
En fait, d'où je suis, je n'ai pas accès au serveur POP. Mais en
utilisant mon tunnel et en passant par SERV_PRIV, là, j'y ai accès ;-)



Tu essaierais pas de traverser un firewall de compagnie trop
agressif? C'est mal :p

Sinon, une solution complètement différente serait de
récupérer tout tes mails sur SERV_PRIV avec fetchmail, et de
tout récupérer facilement de SERV_PRIV ensuite.

C'est peut-être trop simple pour être drôle, cela dit...


Y.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme