[mOved] Problème de tunnel SSH - Page 1

yop,

Pour contourner un proxy un poil restrictif, j'ai voulu tenter de passer par un tunnel SSH et manque de bol ça ne fonctionne pas. Pour préciser tout de suite, je n'y connais rien dans ce domaine, et tout ce que j'ai réussi à comprendre/faire pour l'instant est Google powered. J'utilise Putty sous Windows, et voilà la config :

- Connexion sur un serveur à moi, port 443 (il accepte les connexions SSH sur ce port, un des deux seuls non bloqués par le proxy avec le 80)
- Proxy à travers lequel je veux passer réglé dans le menu "Proxy" de Putty (port 8080)
- Tunnel dynamique sur le port 1337 en local (option "-D1337")

La connexion au serveur se fait correctement, j'arrive à m'identifier et le log de Putty indique bien "Local port 1337 SOCKS dynamic forwarding". Je configure ensuite Firefox de façon à utiliser un proxy sur localhost, port 1337, mais impossible d'accéder à une page : j'obtiens une erreur "serveur introuvable". Pourtant j'ai tenté cette même configuration (Putty + Firefox) depuis un autre endroit avec un autre proxy (en adaptant bien sûr le proxy à passer dans la config de Putty), ça fonctionne parfaitement. Le problème se pose aussi si j'essaie un autre mode de tunnel ("-L1337 google.fr:80" par exemple), ou si j'utilise n'importe quelle autre application pour utiliser le tunnel (j'ai essayé de me connecter à irc, même problème).

Puisque la connexion au serveur se fait bien, je suppose que le tunnel est ouvert (c'est d'ailleurs ce que Putty indique) et je ne pensais pas que le reste pouvait foirer. Quelqu'un aurait une idée de ce qui pourrait poser problème, ou bien quoi tester pour savoir à quel niveau ça bloque ?

Merci

pour le problème technique chais pas, mais fais gaffe, une fois j'ai eu de sérieux problèmes légaux (résolus sans séquelles heureusement) en mettant un SSH sur un serveuramoi qui passait par un port non firewallé

l'idée c'est que même si ssh est crypté le serveur perso ne fait pas partie de la société/labo et peut héberger n'importe quoi.

C'est pas dit que ce soit le même pb chez toi, mais il vaut mieux être prudent. Ca dépend du niveau de parano du service IT.

ouep je sais bien que ça peut poser pb, mais c'est surtout par curiosité que je pose la question en fait; avec le peu que je comprends des tunnels SSH, j'arrive pas à comprendre pourquoi ça ne fonctionne pas ^^

il me semblait que Putty ne gérait pas les commandes en mode graphique (genre lancer une appli par exemple) et ne permettait que les commandes en ligne de commande via l'interface de Putty.

le pb c'est pas putty.

Le proxy que tu configures sur le port 8080 est il bien un proxy SOCKS?

il existe des proxys HTTP non SOCKS (comme ici) qui ne comprennent que le http, donc faudra que tu passes pas un truc genre httptunnel.

Ah c'est peut-être ça le pb, y'a des outils un peu plus "windows-like" (avec un semblant d'interface graphique par exemple) que httptunnel ? (je viens de d/l les binaires windows mais ça a pas l'air spécialement user friendly :/)

Hmmm Proxy+ ? http://www.proxyplus.net/features.php?lang=en

5> oué c'est ultra ugly même

./7 : je vois pas ds la liste des features qu'il fait tunnel http ? (en fait ça ne parle pas du tout de tunnel sur la page)

Bon j'ai essayé httptunnel quand même : échec. Coté serveur, quand je le lance il ne m'affiche rien mais retourne un code d'erreur 0 donc ça laisserait supposer qu'il fonctionne, mais j'en doute ; dans tous les cas ça ne fonctionne pas, je suis pas sûr de l'utiliser correctement mais si y'avait des messages d'aide ça serait quand même nettement plus pratique :/

(btw je comprends pas trop pourquoi il faut faire tourner une appli sur le serveur, y'a pas moyen de faire passer ça par SSH comme dans le cas d'un tunnel à travers proxy socks ?)

Zephyr (./9) :
./7 : je vois pas ds la liste des features qu'il fait tunnel http ? (en fait ça ne parle pas du tout de tunnel sur la page)

Ben je sais pas mais...
- Tu installes le Proxy HTTP chez toi sur le port 3128
- Tu paramètres ton navigateur pour qu'il utilise localhost:1337 comme proxy
- Tu paramètres Putty pour qu'il redirige localhost:1337 vers cheztoi:3128
et ça devrait marcher, non ?

8> httptunnel c'est un bidouillage pour empaqueter des connexions tcp classiques dans des paquets http. Donc bien sur a l'autre bout du tunnel il faut dépaqueter les données pour les transmettre à la destination.

heuuu il me semble aussi que pas mal de proxy d'entreprises analysent tout ce qui se passe, et sont capables de voir si un tunnel SSH est en place, et de le bloquer si il est utilisé (mais il le laisse quand même se connecter, comme ca ils le logguent, puis ils peuvent gueuler)...

faut mieux faire attention, ca il suffit de 2 tentatives pour se faire bien engueuler/virer parfois....

j'avais fait un tunel pour controler mon pc en VNC via un autre port que le 5900, et ben ils l'avaient repérés en 10 minutes et mon compte internet avait été bloqué direct... vaut mieux faire attention !

C'est pas tout a fait ce que tu cherche, mais si les ports http et https sont ouvert, tu peut sortir avec un truc comme tor, qui possede une IHM poru windows (entres autres)

11>
12> m'étonnerait que tor passe. Il lui faut des connexions, quand même.
et si son proxy est http et pas SOCKS, ben il fera pas passer de TCP arbitraire par là. j'en sais qc

./10 : bah d'après ce qu'explique squalyl, je pense que non

squalyl (./14) :
11>
12> m'étonnerait que tor passe. Il lui faut des connexions, quand même.
et si son proxy est http et pas SOCKS, ben il fera pas passer de TCP arbitraire par là. j'en sais qc

A mon boulot ça passe en par le HTTPS, et faut pas oublier que le HTTPS est crypté et ton proxy ne peut pas lire ce qu'il y a dedans...

(tor est prévu pour passer par du http/https en fallback)

Enfin ça reste a tester

ouais alors pourquoi pas

sinon nil, tu veux rediriger vers 3128 (socks), je suis d'accord, mais lui il a un simple proxy http apparemment, donc fail

Zeph: Skype marche a travers ton proxy ?

aucune idée, j'ai pas testé, je tenterai demain

Bah justement, l'objectif est que sur sa machine passerelle (chez lui, j'imagine) il mette un proxy qui fasse socks aussi

Pour passer un ssh à travers un proxy, je suggère corkscrew.
Ca marche plutôt très bien : http://www.agroman.net/corkscrew/
Et en plus, ça ne demande pas de hts qui tourne sur la machine en face (contrairement à httptunnel qui demande un hts qui tourne en face du htc)

A mon ancien taf, les connexions que je faisaient passer dedans étaient plus stable que celles en passant par la passerelle faite pour ça (qui elle était pas très stable et tranchait assez souvent les tunnels)


Bon, bien évidemment, y a pas d'interface graphique...

J'ai jamais utilisé Cygwin, ça veut dire qu'il faut installer tt un pack de trucs avant de pouvoir l'utiliser ? (si oui, j'ai bien peur que ça ne soit pas du tout ce que je cherche :/)

Zephyr (./22) :
J'ai jamais utilisé Cygwin, ça veut dire qu'il faut installer tt un pack de trucs avant de pouvoir l'utiliser ? (si oui, j'ai bien peur que ça ne soit pas du tout ce que je cherche :/)

L'install peut se customiser : tu peux tout a fait te contenter d'installer le système de base avec le shell + un ssh
Pas obligé d'installer toute la cavalerie

uep mais c'est un PC qui n'est pas à moi donc je voudrais installer le strict nécessaire, donc pas de dépendance, par exemple, indépendamment du fait que je n'aime pas du tout cette façon de fonctionner ^^

(mais effectivement j'aurais du préciser windows "natif" ds mon premier post, sachant que je ne veux pas d'interface avec GTK ou autres saletés ^^)

cygwin c'est quand même un machin pas trop suspect, ça peut passer "ouais mais je voulais compiler un petit truc pour tester"

dans le setup de cygwin t'as qu'a choisir juste bash, gcc, maken il mettra juste les dépendances nécessaires sans usine à gaz

Bah cygwin peut être vraiment transparent (par exemple, avec copssh ou avec Xming, il y a des morceaux de cygwin mais on ne s'en rend pas compte).

oui, c'est juste une dll en fait

l'usine à gaz c'est l'installeur de paquets (mais qui est pratique parfois)

Bon, j'up violemment ce topic (ça sera l'occasion de le déplacer dans "Logiciels" d'ailleurs) puisque je suis à nouveau aujourd'hui dans la même situation que quand je l'ai créé, mais que le problème est maintenant résolu.

C'est finalement la solution de Nil (post ./10) que j'ai utilisée et ça marche parfaitement (etlin http proxy installé en local qui écoute sur localhost:8080 et envoie vers localhost:13370, et putty connecté à mirari avec un tunnel dynamique qui écoute sur localhost:13370). Merci donc, à nouveau et avec "un peu" de retard, pour vos réponses ^^

De rien