É muito comum, principalmente em empresas, que existam determinados sites de acesso restrito por algum motivo específico (às vezes absurdo, às vezes não), como sites de download, webmails e outros.
Em geral, essas restrições são feitas bloqueando o domínio do site em questão, adicionando também restrições a certas portas. O que fazemos então se precisarmos obter alguma informação imediatamente?
Normalmente usuários de Windows fazer uso de programas como massa de vidraceiro (que também está disponível em GNU / Linux)um Sua liberdade, mas existe outra forma um pouco mais segura de poder acessar os sites que negamos, usando SSH y meia5.
Para este exemplo, estou contando com as portas 80, 3128 abertas (normalmente usado para navegação) e pelo 9122, e veremos dois casos reais. Não é meu objetivo com este artigo explicar em detalhes o que é SSH, meia5 e como funcionam, deixaremos isso para outra hora. Veremos dois exemplos:
- Conectando-se a outro PC por SSH usando seu endereço IP.
- Conectando a outro PC por SSH usando um domínio (via DNS).
Que necessitamos?
- Um computador com acesso à Internet que podemos acessar por SSH.
- SSH instalado, é claro.
- Saca rolhas (no caso de estarmos atrás de um proxy).
Abrimos um terminal e colocamos (no caso do Debian):
$ sudo aptitude install ssh corkscrew
OK .. Já instalei Como faço para conectar?
É muito simples. Abrimos um terminal e colocamos ssh -p 443 usuário @ internet_computer_ip:
ssh -p 9122 -D 1080 elav@192.168.1.1
Parâmetro -p Como é lógico, serve para estabelecer por qual porta vamos nos conectar. Que simples Agora, abrimos as preferências do navegador (no meu caso, Firefox) e no Opções de rede, nós apenas marcamos a opção de usar Servidor de meias e colocamos:
127.0.0.1:1080
Isso é o suficiente para navegar.
E se estivermos atrás de um proxy?
Pode ser o caso de estarmos atrás de um servidor proxy muito restritivo ou simplesmente nosso ISP não nos permite conectar através de um endereço IP, então temos que fazer isso DNS. É aqui que entra o jogo Saca-rolhas. Para usar este aplicativo, tudo o que precisamos fazer é criar um arquivo dentro da pasta com nosso editor favorito .ssh no nosso / HomeChamado configuração:
$ vim ~/.ssh/config
e dentro colocamos algo assim:
host dominio.net
user tu_usuario
hostname dominio.net
port 9122
proxycommand corkscrew IP_Proxy 3128 %h %p
DynamicForward 1080
Compression yes
LocalForward 8888 localhost:8888
Explicando um pouco. No parâmetro host, colocamos a URL do servidor ao qual vamos nos conectar (que deve ter SSH disponível pelo 9122, como vimos neste post. No parâmetro comando proxy depois de saca rolhas colocamos o IP do nosso proxy ou o FQDN, por exemplo: proxy.domain.net e a porta que é usada para navegar.
Agora só temos que abrir um terminal e colocar:
ssh usuario@dominio.net
Agora, um último detalhe. Pode ser necessário modificar um parâmetro na configuração do Firefox se não tivéssemos conexão. Abrimos uma guia e digitamos about: config. Prometemos que não colocaremos nossas mãos nas configurações e procuramos:
network.dns.disablePrefetch
E se estiver em falso nós colocamos verdadeiro.
Excelente, gostaria apenas de ter um servidor para poder fazer de forma funcional e não apenas praticar entre 2 computadores da minha rede local:)…
Uma pergunta: você não consegue navegar para desdelinux.net de https?
Não, você não pode agora. Teríamos que comprar um certificado SSL, e custa cerca de US $ 60 por mês ou um ano, dinheiro que não temos 🙁 ... desculpe amigo.
E por que não um certificado autoassinado?
Não sei muito sobre isso, mas se gerarmos um certificado nós mesmos, seu navegador dirá que o site não é confiável e que ... 🙁
Se bem me lembro, parece que já vi certificados limitados a cerca de US $ 15 por ano, é claro que isso depende muito do provedor de hospedagem. Mas, francamente, para um blog (público por natureza), não vejo a necessidade de navegação HTTPS, exceto, talvez, para garantir que as informações que vemos sejam realmente originais e não sejam parte de um ataque man-in-the-middle (ou o o desejo também pode ser um sinal de que estamos ficando um pouco paranóicos) 😉
no servidor sock faltou um ponto em 127.0.0.1:1080
Obrigado. Agora eu corrijo isso.
Bem, eu tenho que dizer, SSH parece muito interessante ...
hehehe sim, você não conhece as maravilhas que só podem ser feitas com uma conexão SSH 😀
Pode ser possível remover o saca-rolhas da equação, pelo menos para o Firefox.
Em "about: config", defina a entrada rede.proxy.socks_remote_dns como verdadeiro, o que, no caso de um proxy socks v5, faz com que as solicitações de DNS também sejam feitas pelo proxy socks.
Meu link não tem grandes restrições, então não sei se funcionará. Experimente e relate. 😉
Outra sugestão que vi por aí é usar -4D em vez de -D para criar o proxy apenas em um endereço ipv4. Isso aparentemente otimiza um pouco a conexão.
Por fim: se você não deseja executar nenhum comando remoto, pode usar o parâmetro no final -N (assim evitamos colocar os capacetes), e para desconectar teríamos apenas que dar um Ctrl + C.
Obrigado pela sugestão Hugo, teria que tentar. A propósito, com toda essa combinação também uso Screen 😀
Eu também uso, embora através do byobu. Na verdade, houve momentos em que formei uma tremenda bagunça porque tive acesso a hosts nos quais tive acesso a outros hosts nos quais também tive acesso a outros, etc. Como quase todos eles usaram o byobu, em Por um tempo acabei fechando tudo porque era difícil para mim saber de onde estava acessando onde, hehehe.
Hugo sobre o tempo, me ligue da sua casa no meu celular para ligar de volta 😉
Além de -4D (para otimizar a conexão) e -N (para dizer ao SSH que vamos encaminhar apenas as portas), podemos adicionar chaves seguras para ambos os lados da conexão e um & no final da linha de invocação SSH para iniciar um túnel de forma automatizada.
Supondo que tenhamos os arquivos configurados corretamente:
~ / .ssh /
autorizado_keys2
id_rsa
id_rsa.pub
nas máquinas envolvidas na conexão, a instrução final seria:
$ssh -p 9122 -4D 1080 -N elav@192.168.1.1 e
Você pode adicioná-lo ao nosso /etc/rc.local para garantir que a conexão seja estabelecida automaticamente toda vez que o sistema for iniciado.
Além disso, usando pm-suspend e eth-tool podemos configurar /etc/rc.local para despertar a máquina que vai atuar como proxy através da internet e conectar-se automaticamente a ela e deixá-la em espera novamente - até quando fechamos nosso sistema ...
Nerding feliz 😀
Excelente contribuição .. Obrigado 😀