ssh et support X quand relayé par serveur non graphique...
13 réponses
Loick.B
Bonjour à tous.
Je profites des nombreux mails qui viennent de passer concernant le
forward X en ssh pour vous poser une question de détails qui m'embarasse.
Soit deux LAN séparés par Internet.
Les deux LAN sont protégés par une passerelle (seule du RZ à posséder
une IP publique) qui ne dispose pas d'interface graphique.
Lorsque je dois bosser d'un LAN vers l'autre (qu'importe le sens), je
procéde par "rebond" en établissant une connexion ssh vers la passerelle
du 2éme LAN et cette connexion établie, j'en établie une nouvelle vers
l'IP privée de la machine sur laquelle je cherche à travailler.
Jusque là pas de problème puisque je bosse 99,9% des fois en console...
Par curiosité et, oserais-je le dire, facilité (pour certaine applis),
j'aimerais faire la même chose en exportant l'interface graphique.
Autrement, dit, j'aimerais savoir si il est possible de bosser en
graphique depuis mon laptop sous Sarge dans LAN 1 sur une appli et une
station dans LAN2 (ip privée)?....
Si oui comment?
Merci d'avance à tous et bonne journée,
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bon j'ai envoyé le mail un peu vite : avez-vous bien AllowX11Forwarding yes dans le fichier de conf du serveur sshd
Bien sur, à l'exception prés, que c'est "X11Forwarding yes" et pas "AllowX11Forwarding yes" :-p
Oups me suis trompé de version :) Celle là c'est la pas open ...
et ForwardX11 yes dans le ficiher de conf du client ssh ?
Oui.
En prenant en compte evidemment que certains noeuds comme toto seront à la fois serveur et client...
Evidemment...
Je n'ai donc qu'un noeud à configurer selon ce principe: toto.
Et je rectifie. L'appli confortable dont je parlais dans mon premier mail est "keychain" et pas ssh-agent.
Pour l'instant, je ne me penche pas sur le problème du confort de l'authentification, cela viendra plus tard!
Et ca ne marche pas ? Que donne la commande verbeuse ? Pascal
-- "L'avenir, c'est à l'avance qu'il faut y penser." R. Brautigan
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Danjean
Francois Cerbelle wrote:
Le Thu, Jan 13, 2005 at 10:18:29AM +0100, Loick.B ecrit :
Il faudrait certainement donc installer xauth sur la passerelle, ce que je me refuse à faire sur un firewall ! ;-)
Non, la bonne solution dans ce cas d'utiliser l'option "proxyCommand" de ssh. Ça permet de faire dialoguer directement le client local et le serveur sshd final.
Dans ton .ssh/config, mets un truc du genre :
############################## # On nomme la passerelle distance, c'est plus lisible Host lan2 HostName 195.6.92.176 User loick
# Pour accéder aux sshd placés dernière le firewall de LAN2, on demande # au firewall de nous faire une connexion Host *.lan2 User loick ProxyCommand ssh lan2 "nc `basename %h .lan2` %p" ##############################
Et après, tu peux utiliser : ssh 192.168.1.3.lan2 Si tu mets des options ici, ça ne concerne que ton client local et ton serveur sshd distant (celui derrière le firewall)
Contrainte, il faut avoir nc (ou tcpconnect, les deux font la même chose) d'installé sur ton firewall. En général, s'il n'y est pas, tu peux mettre le binaire toi même (il faudra alors peut-être mettre le path complet (/home/loick/bin/nc)), soit demander à l'administrateur de l'installer. Mes demandes ont toujours été satisfaites jusqu'à maintenant lorsqu'il y avait besoin de l'installer.
Vincent
Remarque: J'ai une config où j'ai trois firewalls successifs qui sont franchis avec cette méthode. Ça marche très bien (mais vive les clés public pour éviter de taper 3 fois mon mot de passe)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Cerbelle wrote:
Le Thu, Jan 13, 2005 at 10:18:29AM +0100, Loick.B ecrit :
Il faudrait certainement donc installer xauth sur la passerelle, ce
que je me refuse à faire sur un firewall ! ;-)
Non, la bonne solution dans ce cas d'utiliser l'option "proxyCommand" de
ssh. Ça permet de faire dialoguer directement le client local et le
serveur sshd final.
Dans ton .ssh/config, mets un truc du genre :
##############################
# On nomme la passerelle distance, c'est plus lisible
Host lan2
HostName 195.6.92.176
User loick
# Pour accéder aux sshd placés dernière le firewall de LAN2, on demande
# au firewall de nous faire une connexion
Host *.lan2
User loick
ProxyCommand ssh lan2 "nc `basename %h .lan2` %p"
##############################
Et après, tu peux utiliser :
ssh 192.168.1.3.lan2
Si tu mets des options ici, ça ne concerne que ton client local et ton
serveur sshd distant (celui derrière le firewall)
Contrainte, il faut avoir nc (ou tcpconnect, les deux font la même
chose) d'installé sur ton firewall. En général, s'il n'y est pas, tu
peux mettre le binaire toi même (il faudra alors peut-être mettre le
path complet (/home/loick/bin/nc)), soit demander à l'administrateur de
l'installer. Mes demandes ont toujours été satisfaites jusqu'à
maintenant lorsqu'il y avait besoin de l'installer.
Vincent
Remarque:
J'ai une config où j'ai trois firewalls successifs qui sont franchis
avec cette méthode. Ça marche très bien (mais vive les clés public pour
éviter de taper 3 fois mon mot de passe)
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Thu, Jan 13, 2005 at 10:18:29AM +0100, Loick.B ecrit :
Il faudrait certainement donc installer xauth sur la passerelle, ce que je me refuse à faire sur un firewall ! ;-)
Non, la bonne solution dans ce cas d'utiliser l'option "proxyCommand" de ssh. Ça permet de faire dialoguer directement le client local et le serveur sshd final.
Dans ton .ssh/config, mets un truc du genre :
############################## # On nomme la passerelle distance, c'est plus lisible Host lan2 HostName 195.6.92.176 User loick
# Pour accéder aux sshd placés dernière le firewall de LAN2, on demande # au firewall de nous faire une connexion Host *.lan2 User loick ProxyCommand ssh lan2 "nc `basename %h .lan2` %p" ##############################
Et après, tu peux utiliser : ssh 192.168.1.3.lan2 Si tu mets des options ici, ça ne concerne que ton client local et ton serveur sshd distant (celui derrière le firewall)
Contrainte, il faut avoir nc (ou tcpconnect, les deux font la même chose) d'installé sur ton firewall. En général, s'il n'y est pas, tu peux mettre le binaire toi même (il faudra alors peut-être mettre le path complet (/home/loick/bin/nc)), soit demander à l'administrateur de l'installer. Mes demandes ont toujours été satisfaites jusqu'à maintenant lorsqu'il y avait besoin de l'installer.
Vincent
Remarque: J'ai une config où j'ai trois firewalls successifs qui sont franchis avec cette méthode. Ça marche très bien (mais vive les clés public pour éviter de taper 3 fois mon mot de passe)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
On 2005-01-14 14:00:28 +0100, Vincent Danjean wrote:
Contrainte, il faut avoir nc (ou tcpconnect, les deux font la même chose) d'installé sur ton firewall.
Mais nc fonctionne mieux. Avec tcpconnect, il faut attendre un certain temps après la fermeture de la connexion par Ctrl-D avant de récupérer la main.
