Il est très courant, en particulier dans les entreprises, qu'il existe certains sites auxquels l'accès est restreint pour une raison spécifique (parfois absurde, parfois non), tels que les sites de téléchargement, les webmails et autres.
En général, ces restrictions se font en bloquant le domaine du site en question, en ajoutant également des restrictions à certains ports.Que faire alors si nous avons besoin d'obtenir des informations immédiatement?
Généralement les utilisateurs de Windows utiliser des programmes comme mastiquer (qui est également disponible sur GNU / Linux)Qu'il s'agisse d'un vin rare et exotique ou du même vin dans différents millésimes, quel que soit votre choix au Votre liberté, mais il existe un autre moyen un peu plus sécurisé pour pouvoir accéder aux sites que nous avons refusés, en utilisant SSH y Chaussette5.
Pour cet exemple, je compte sur le fait que nous avons des ports ouverts 80, 3128 (normalement utilisé pour la navigation) et l' 9122, et nous verrons deux cas réels. Ce n'est pas mon but avec cet article d'expliquer en détail ce que c'est SSH, Chaussette5 et comment ils fonctionnent, nous laisserons cela pour une autre fois. Nous verrons deux exemples:
- Connexion à un autre PC par SSH en utilisant son adresse IP.
- Connexion à un autre PC par SSH en utilisant un domaine (par DNS).
Qu'avons nous besoin?
- Un ordinateur avec accès Internet auquel nous pouvons accéder par SSH.
- SSH installé bien sûr.
- Un tire-bouchon (au cas où nous serions derrière un proxy).
Nous ouvrons un terminal et mettons (dans le cas de Debian):
$ sudo aptitude install ssh corkscrew
OK .. J'ai déjà installé Comment puis-je me connecter?
C'est très simple. Nous ouvrons un terminal et mettons ssh -p 443 utilisateur @ internet_computer_ip:
ssh -p 9122 -D 1080 elav@192.168.1.1
Paramètre -p comme il est logique, il est utilisé pour établir par quel port nous allons nous connecter. C'est simple Maintenant, nous ouvrons les préférences du navigateur (dans mon cas Firefox) et l' Options réseau, nous marquons uniquement l'option à utiliser Serveur de chaussettes et nous mettons:
127.0.0.1:1080
Cela suffit pour naviguer.
Et si nous sommes derrière un proxy?
Il se peut que nous soyons derrière un serveur proxy très restrictif ou que simplement notre ISP ne nous permet pas de nous connecter via une adresse IP, nous devons donc le faire en DNS. C'est ici qu'il entre en jeu Boucles Corkscrew. Pour utiliser cette application, il suffit de créer un fichier dans le dossier avec notre éditeur préféré .ssh sur notre / home, Llamado config:
$ vim ~/.ssh/config
et à l'intérieur, nous mettons quelque chose comme ça:
host dominio.net
user tu_usuario
hostname dominio.net
port 9122
proxycommand corkscrew IP_Proxy 3128 %h %p
DynamicForward 1080
Compression yes
LocalForward 8888 localhost:8888
Expliquant cela un peu. Dans le paramètre hôte, nous mettons l'URL du serveur auquel nous allons nous connecter (qui doit avoir SSH disponible par le 9122, comme nous l'avons vu dans cet article. Dans le paramètre commande proxy après un tire-bouchon nous mettons l'IP de notre proxy ou le FQDN, par exemple: proxy.domain.net et le port utilisé pour naviguer.
Il ne reste plus qu'à ouvrir un terminal et mettre:
ssh usuario@dominio.net
Maintenant, un dernier détail. Il peut être nécessaire de modifier un paramètre dans la configuration de Firefox si nous n'avions aucun lien. Nous ouvrons un onglet et tapons about: config. Nous promettons que nous ne mettrons pas la main dans les décors et nous recherchons:
network.dns.disablePrefetch
Et si c'est dans non nous le mettons oui.
Excellent, je voudrais seulement avoir un serveur pour pouvoir le faire de manière fonctionnelle et pas seulement la pratique entre 2 ordinateurs dans mon réseau local :)…
Une question : ne pouvez-vous pas accéder à desdelinux.net à partir de https ?
Non, pour le moment, vous ne pouvez pas. Il faudrait acheter un certificat SSL, et cela coûte environ 60 $ par mois ou par an, de l'argent que nous n'avons pas 🙁… désolé ami.
Et pourquoi pas un certificat auto-signé?
Je ne sais pas grand-chose à ce sujet, mais si nous générons nous-mêmes un certificat, votre navigateur vous dira que le site n'est pas fiable et que ... 🙁
Si je me souviens bien, il me semble que j'ai déjà vu des certificats limités à environ 15 USD par an, bien sûr cela dépend en grande partie de l'hébergeur. Mais franchement, pour un blog (public par nature), je ne vois pas la nécessité de la navigation HTTPS, sauf peut-être pour s'assurer que les informations que nous voyons sont vraiment l'original et ne font pas partie d'une attaque man-in-the-middle (ou le le désir peut aussi être le signe que nous devenons un peu paranoïaques) 😉
sur le serveur de chaussettes, il vous manquait un point à 127.0.0.1:1080
Je vous remercie. En ce moment, je le corrige.
Eh bien, je dois dire que SSH a l'air très intéressant ...
hehehe oui, vous ne connaissez pas les merveilles qui ne peuvent être faites qu'avec une connexion SSH 😀
Il peut être possible de supprimer le tire-bouchon de l'équation, au moins pour Firefox.
Dans "about: config", définissez l'entrée réseau.proxy.socks_remote_dns à true, ce qui, dans le cas d'un proxy socks v5, entraîne également des requêtes DNS par le proxy socks.
Mon lien n'a pas de restrictions majeures, donc je ne sais pas si cela fonctionnera. Essayez de signaler. 😉
Une autre suggestion que j'ai vue est d'utiliser -4D au lieu de -D pour créer le proxy uniquement sur une adresse ipv4. Cela optimise apparemment un peu la connexion.
Enfin: si vous ne souhaitez exécuter aucune commande à distance, vous pouvez utiliser le paramètre à la fin -N (on évite donc de mettre les casques), et pour déconnecter il suffirait de donner un Ctrl + C.
Merci pour la suggestion Hugo, devrait essayer. Au fait, avec toute cette combinaison, j'utilise aussi Screen 😀
Je l'utilise également, bien que via byobu. En fait, il y a des moments où j'ai eu un désordre énorme parce que j'ai eu accès à des hôtes dans lesquels j'avais eu accès à d'autres hôtes dans lesquels j'avais également eu accès à d'autres, etc. Comme presque tous utilisaient byobu, à pendant que je finissais de tout fermer car il était difficile pour moi de savoir d'où j'accédais où, hehehe.
Hugo à propos de la météo, appelle-moi de ta maison sur mon portable pour te rappeler 😉
En plus de -4D (pour optimiser la connexion) et -N (pour dire à SSH que nous n'allons qu'aux ports du transitaire), nous pouvons ajouter des clés sécurisées des deux côtés de la connexion et un & à la fin de la ligne d'appel SSH pour initier un tunnel de manière automatisée.
En supposant que les fichiers soient correctement configurés:
~ / .ssh /
Authorized_keys2
id_rsa
id_rsa.pub
sur les machines impliquées dans la connexion, l'instruction finale serait:
$ssh -p 9122 -4D 1080 -N elav@192.168.1.1 et
Vous pouvez l'ajouter à notre /etc/rc.local pour vous assurer que la connexion est établie automatiquement à chaque démarrage du système.
De plus, en utilisant pm-suspend et eth-tool, nous pouvons configurer /etc/rc.local pour réveiller la machine qui va agir en tant que proxy via Internet et s'y connecter automatiquement, puis la laisser en veille à nouveau lorsque nous fermons notre système ...
Bon nerding 😀
Excellente contribution .. Merci 😀