# Connessione remota attraverso un proxy[non più risolto]

## Kernel78

Ciao a tutti, per lavoro sono lontano da casa tutta la settimana e il mio povero pc rimane nelle mani di mia moglie per tutto il tempo. Per quanto io possa amare mia moglie devo riconoscere che informaticamente parlando è totalmente imbranata e quando si verifica anche il minimo inconveniente guidarla telefonicamente per risolverlo diventa un'impresa epica.

Per ovviare a questo ho predisposto ssh per potermi collegare da remoto ma purtroppo dalla mia postazione posso uscire su internet solo tramite un proxy  :Crying or Very sad:  e quindi paradossalmente gli unici tentatdivi di connessione al mio pc sono quelli dei simpaticissimi script kiddies ...

Posso in qualche modo "tunnelizzare" la connessione ssh in modo che possa accedervi da dietro un proxy ?

O c'è qualche soluzione alternativa ?

----------

## neryo

 *Kernel78 wrote:*   

> 
> 
> Posso in qualche modo "tunnelizzare" la connessione ssh in modo che possa accedervi da dietro un proxy ?
> 
> O c'è qualche soluzione alternativa ?

 

ti passo questo articolo di un mio collega di università dovrebbe fare al caso tuo...

http://members.ferrara.linux.it/cavicchi/modules/wfsection/article.php?articleid=23

----------

## gutter

 *Kernel78 wrote:*   

> Ciao a tutti, per lavoro sono lontano da casa tutta la settimana e il mio povero pc rimane nelle mani di mia moglie per tutto il tempo. Per quanto io possa amare mia moglie devo riconoscere che informaticamente parlando è totalmente imbranata e quando si verifica anche il minimo inconveniente guidarla telefonicamente per risolverlo diventa un'impresa epica.
> 
> 

 

Spero che tua moglie non legga questo forum, se no stasera altro che cena   :Laughing: 

----------

## Kernel78

 *neryo wrote:*   

> ti passo questo articolo di un mio collega di università dovrebbe fare al caso tuo...
> 
> http://members.ferrara.linux.it/cavicchi/modules/wfsection/article.php?articleid=23

 

Grazie, appena ho tempo me lo studio.

----------

## Kernel78

 *gutter wrote:*   

> Spero che tua moglie non legga questo forum, se no stasera altro che cena  

 

 :Laughing:  se lo avessi letto tu sapresti che sono fuori casa tutta la settimana, rientro solo il fine settimana   :Wink: 

----------

## makoomba

il proxy è un http-proxy, tipo squid per intenderci ?

----------

## gutter

 *Kernel78 wrote:*   

> 
> 
>  se lo avessi letto tu sapresti che sono fuori casa tutta la settimana, rientro solo il fine settimana  

 

Ma questo fine settimana sarà in casa ad attenderti   :Twisted Evil: 

----------

## Kernel78

 *makoomba wrote:*   

> il proxy è un http-proxy, tipo squid per intenderci ?

 

esatto, permette unicamente di navigare su internet.

 *gutter wrote:*   

> Ma questo fine settimana sarà in casa ad attenderti 

 

Ma io ho detto che la amo tantissimo (speriamo che basti)   :Confused: 

Almeno le cose che ha imparato sul pc sono tutte su gentoo   :Cool: 

----------

## makoomba

 *Kernel78 wrote:*   

> esatto, permette unicamente di navigare su internet.

 

allora puoi provare con

```

net-misc/corkscrew 

     Available versions:  ~2.0

     Installed:           none

     Homepage:            http://www.agroman.net/corkscrew/

     Description:         Corkscrew is a tool for tunneling SSH through HTTP proxies.

```

edit:

probabilmente dovrai anche spostare sshd dalla porta 22 alla porta 443

----------

## xchris

vedi eventualmente di provare con la 443..

ciao

----------

## Kernel78

Come mai la 443 ?

Sono abbastanza ignorante in materia ma sempre pronto a imparare quindi ogni spiegazione è ben accetta.

----------

## makoomba

per utilizzare ssh attraverso un proxy http devi utilizzare il metodo CONNECT

nei proxy, l'utilizzo di CONNECT ( per ovvi motivi di sicurezza ) dev'essere limitato solo verso alcune porte, la 443 è quella utilizzata per le connessioni https ed è permessa nella maggioranza dei casi.

----------

## Kernel78

allora devo spostare la porta del sshd sulla 443 (sul mio pc remoto) così che il proxy della rete dietro cui mi trovo possa "vederlo" e dovrebbe bastare questo ?

Penso di dover impostare l'utilizzo del proxy sul client ssh che uso (purtroppo sotto win) in modo che la comunicazione venga tunnellizata, giusto ?

----------

## makoomba

 *Kernel78 wrote:*   

> allora devo spostare la porta del sshd sulla 443 (sul mio pc remoto) così che il proxy della rete dietro cui mi trovo possa "vederlo" e dovrebbe bastare questo ?
> 
> Penso di dover impostare l'utilizzo del proxy sul client ssh che uso (purtroppo sotto win) in modo che la comunicazione venga tunnellizata, giusto ?

 

Sì, se il client ssh supporta il proxy http (Putty ad esempio) dovresti riuscire a connetterti.

----------

## Kernel78

Allora nel fine settimana sistemo il mio pc così settimana prossima provo a collegarmi e vi faccio sapere.

Un'altra cosa adesso che mi viene in mente...

Posso lasciare sshd in ascolto sulla 22 e impostare iptables in modo che rediriga il traffico dalla 443 alla 22 ?

In questo modo potrei collegarmi (con le dovute impostazioni) da questa rete del cavolo e le altre persone a cui ho dato un accesso ssh non dovrebbero modificare la porta di collegamento.

Vi sembra una buona idea o ci sono modi migliori per ottenere questo risultato ?

----------

## makoomba

iptables va benissimo

----------

## Kernel78

Nel finesettimana ero decisamente di corsa e (non conoscendo ancora bene iptables) mi sono limitato a spostare l'ascolto del server ssh sulla porta 443 e oggi ho impostato su putty il proxy e ho impostato il server a cui collegarsi (ovviamente specificando la porta 443).

Bellissimo potersi collegare !!!

Grazie a tutti ragazzi, adesso sto compilando il nuovo kernel stabile dopo un bel emerge  :Wink: 

Mi sento come un bambino con il giocattolo nuovo !!!

Adesso vado a mettere anche il tag risolto.

----------

## makoomba

basta un semplice

```
iptables -t nat -A PREROUTING -p tcp -d il_tuo_ip --dport 443 -j REDIRECT --to-port 22
```

----------

## Kernel78

 *makoomba wrote:*   

> basta un semplice
> 
> ```
> iptables -t nat -A PREROUTING -p tcp -d il_tuo_ip --dport 443 -j REDIRECT --to-port 22
> ```
> ...

 

Adesso che mi hai dato la pappa pronta in 5 secondi sono in grado di farlo ma altrimenti dovevo spulciare la documentazione per trovare queste info ...

Grazie mille.

----------

## makoomba

 *Kernel78 wrote:*   

> ..altrimenti dovevo spulciare la documentazione per trovare queste info ...

 

per oggi nessun RTFM  :Wink: 

----------

## Kernel78

 *makoomba wrote:*   

>  *Kernel78 wrote:*   ..altrimenti dovevo spulciare la documentazione per trovare queste info ... 
> 
> per oggi nessun RTFM 

 

si, ma solo per oggi, so che prima o poi devo trovare il tempo di studiarmi almeno le basi di iptables ...

----------

## -YoShi-

Ciao a tutti!

Eccomi di ritorno con un nuovo quesitino che mi trita il cervellino  :Smile: 

Se volessi loggare tramite SSH ad un altro pc via internet come devo fare?

In pratica il mio pc (ip: 192.1.1.1)  per uscire dalla rete passa attraverso un router/firewall (192.1.0.100) e esce con l'ip 82.82.82.82

tramite un socks vers.5 (humming bird)

Se volessi loggare in un altro pc (con ubuntu, ip 192.168.3.4 ) che ha l'ip del service provider (83.83.83.83) come dovrei fare?

----------

## makoomba

devi rimappare la porta 22 del router sul pc 192.168.3.4, in questo modo risulterà visibile dall'esterno con ip pubblico 83.83.83.83

Per quanto riguarda il client 192.1.1.1, va usata la direttiva ProxyConnect di ssh +  net-misc/connect

----------

## gutter

[MOD]Fatto il merge del thread di -YoShi- con questo.[/MOD]

----------

## -YoShi-

Grazie Mod  :Smile:  nn avevo trovato niente con la mia ricerca  :Smile:  adesso provo a seguire il 3d.

P.s. se invece dovessi usare window e putty? cosa dovrei usare per fare il log con putty?

----------

## makoomba

sono due problematiche diverse

kernel78: proxy http, server con ip pubblico -> cambio porta per ssh

tu: proxy socks, server con ip privato -> rimappatura porta da router a server

putty supporta anche i proxy socks, ti basta impostare i parametri

----------

## -YoShi-

xò con humming bird nn devo configurare nessun programma, mi basta mettere connessione diretta e tutto funziona.

Nel caso che ip devo mettere in per il collegamento? dell' ISP o del pc al quale mi devo collegare?

----------

## makoomba

l'ip pubblico che ti assegna l'isp

----------

## -YoShi-

Nn funge  :Sad:  e se usassi un programma che tunnellizza i pacchetti attraverso humming bird?

Ne conoscete qualcuno che nn sia a pagamento? nn vorrei pagare una cosa che poi nn sono sicuro funzioni..

----------

## makoomba

hai rimappato la porta del router ?

cacchio è "humming bird" un proxy ? un client ?

----------

## -YoShi-

humming bird è un client.

Nn posso rimappare le porte, nn ho accesso al router

Le uniche cose certe che ho sono il mio ip, il gateway il dns con porta 1080 il nome utente e la password.

----------

## Kernel78

 *-YoShi- wrote:*   

> humming bird è un client.
> 
> Nn posso rimappare le porte, nn ho accesso al router
> 
> Le uniche cose certe che ho sono il mio ip, il gateway il dns con porta 1080 il nome utente e la password.

 

Se non puoi accedere al router temo che ci sia ben poco da fare...

----------

## -YoShi-

Be ma se riesco a uscire per navigare nn posso mascherare ssh da browser internet?

tunnellizzare i pacchetti da e per ssh a html?

----------

## makoomba

se il router è blindato dall'isp, non ci sono soluzioni semplici.

----------

## -YoShi-

azzo.. e usare una soluzione tipo WebDav? una pagina in java che reinderizza a ssh?

Fantascienza o razzata?

----------

## makoomba

un pò entrambe

----------

## Kernel78

Porcaccia vacca, dopo due settimane di uso tranquillo di ssh quando ho provato a connettermi ieri ho ottenutto da putty un bel 

```
Proxy error: 503 Service Unavailable
```

Io non ho modificato nulla, dite che hanno modificato la configurazione del proxy ? In caso come potrei aggirarlo ? Potrebbe andare se metto in ascolto il mio server ssh sulla porta 80 ? (Sempre che possa essere questo il problema)

Se non avete tempo di spiegarmi tutto datemi almeno qualche dritta su dove cercare ...

Ho già iniziato a cercare con google ma per adesso non sono ancora venuto a capo di nulla   :Crying or Very sad: 

----------

## Kernel78

Mi sta venendo un dubbio ...

Per collegarmi al mio server sfrutto il servizio noip per potermi collegare (visto che ho un ip dinamico) e mi viene il dubbio che magari il servizio non sia partito correttamente e quindi il nome che uso punta ad un ip diverso da quello della mia macchina. Ho inviato a mia moglie una mail con le istruzioni per riavviare il noip ma visto che lei oggi lavora fino alle 19 volevo sapere da voi se poteva aver senso o meno.

/EDIT: mia moglie ha fatto in tempo a dare il restart al servizio noip ma non ha funzionato e anche dando stop il servizio da errore (254 mi pare), stò controllando sul sito noip per cercare di capire di che errore si tratta...

----------

## makoomba

è molto probabile che il problema sia quello.

----------

## Kernel78

Ma porca di quella ...

Mi sono fatto dare da mia moglie l'indirizzo ip della macchina per collegarmi cmq e tentare di risolvere la cosa ma non mi funziona nemmeno usando l'ip   :Crying or Very sad: 

Non vorrei che mi avessero bannato l'ip di casa dal proxy (potrebbe essere o ho detto una cavolata)...

----------

## makoomba

non credo, in quel caso avresti un 403: Forbidden.

riesci a pingare la tua macchina ?

----------

## Kernel78

 *makoomba wrote:*   

> non credo, in quel caso avresti un 403: Forbidden.
> 
> riesci a pingare la tua macchina ?

 

No, ma non riesco a pingare nemmeno www.google.it eppure tramite il proxy lo vedo e navigo tranquillamente

----------

## makoomba

avranno disabilitato l'icmp..

503 è restituito dal proxy quando non raggiunge la risorsa, quindi o l'host non è raggiungibile o sulla porta non è attivo il servizio

edit:

oppure ti hanno bannato gli ip con iptables, nel qual caso un 503 sarebbe legittimo

----------

## Kernel78

 *makoomba wrote:*   

> avranno disabilitato l'icmp..
> 
> 503 è restituito dal proxy quando non raggiunge la risorsa, quindi o l'host non è raggiungibile o sulla porta non è attivo il servizio

 

Mia moglie ha ricevuto le mie email, scritto le sue e navigato tranquillamente quindi il pc deve essere raggiungibile, sshd è attivo e non ho combiato nulla nella configurazione. L'unico errore che sono riuscito a individuare e nel servizio noip che non vuole funzionare (ha dato errore anche a stopparsi).

Ma l'ip dovrebbe andar bene cmq ...

----------

## makoomba

potrebbe non essere raggiungibile dal proxy, magari per un momentaneo problema di routing tra i rispettivi isp

oppure il sysadmin ha notato nei log di squid tutti quei connect ed ha agito di conseguenza.

hai notato se l'ip è cambiato rispetto a quando funzionava ?

----------

## Kernel78

 *makoomba wrote:*   

> potrebbe non essere raggiungibile dal proxy, magari per un momentaneo problema di routing tra i rispettivi isp
> 
> oppure il sysadmin ha notato nei log di squid tutti quei connect ed ha agito di conseguenza.
> 
> hai notato se l'ip è cambiato rispetto a quando funzionava ?

 

Ho riavviato il pc nel finesettimana (per un aggiornamento del kernel) quindi potrebbe essere essere cambiato l'ip ma non ci metto la mano sul fuoco.

Per quanto riguarda l'amministratore dubito persino che esista ... ho colleghi che si guardano siti porno a più non posso e nessuno ha mai fatto caso a questo, inoltre io e i miei colleghi per controllare la posta dobbiamo connetterci su un server esterno e quindi connect a valanga anche li ... dubito che qualche connect in più possa averlo insospettito (sempre che esista)...

----------

## makoomba

beh, di certo la magagna c'è.

se avessero cambiato qualcosa sul proxy avresti un forbidden.

prova con tracert, magari l'udp non è filtrato.

al limite, se vuoi un check esterno puoi mandarmi l'ip in pm e ti controllo con nmap la porta 443

----------

## Kernel78

 *makoomba wrote:*   

> beh, di certo la magagna c'è.
> 
> se avessero cambiato qualcosa sul proxy avresti un forbidden.
> 
> prova con tracert, magari l'udp non è filtrato.
> ...

 

Ti ho mandato l'ip.

Per il tracert ho qualche problema visto che qui uso win 2000  :Crying or Very sad: 

e ad essere sincero non ho nemmeno idea di cosa sia tracert   :Embarassed: 

----------

## makoomba

```
[root@backup root]# ssh -p 443 xxx.xxx.xxx.xxx

ssh: connect to address xxx.xxx.xxx.xxx port 443: Connection refused

```

sulla 22 invece funziona.

hai cambiato qualcosa su iptables ?

----------

## Kernel78

 *makoomba wrote:*   

> sulla 22 invece funziona.
> 
> hai cambiato qualcosa su iptables ?

 

ops ...

nel fine settimana stavo giocherellando ad un front-end per gestire gli ip bannati per aver tentato l'accesso ssh trami te forza bruta (odio vedere i log riempiti di quei tentativi inutili) e, visto che sulla porta 22 ssh funziona, evidentemente ho inavvertitamente brasato la redirezione della porta   :Laughing: 

Mi toccherà aspettare il fine settimana (non mi fido a far modificare iptables a mia moglie) ...

Grazie per l'aiuto

----------

## makoomba

 *Kernel78 wrote:*   

> Mi toccherà aspettare il fine settimana (non mi fido a far modificare iptables a mia moglie) ...

 

[moglie]

no, sono SICURA, hai detto rm -rf / !

[/moglie]

----------

## Kernel78

 *makoomba wrote:*   

>  *Kernel78 wrote:*   Mi toccherà aspettare il fine settimana (non mi fido a far modificare iptables a mia moglie) ... 
> 
> [moglie]
> 
> no, sono SICURA, hai detto rm -rf / !
> ...

 

 :Laughing:   :Laughing:   :Laughing: 

----------

## Kernel78

Visto che passo da queste parti con un altro dubbio cerco ancora il vostro aiuto...

Se io invece di volermi connettere alla mia macchina con ssh volessi connettermi alla vpn dovrei disabilitare l'ascolto di ssh sulla porta 443 e impostarci la vpn ? e in caso volessi continuare a potermi collegare ad ssh e anche alla vpn come potrei fare ? ci sono altre porte che potrei sfruttare o dovrei impostare un meccanismo di switch dei servizi in ascolto sulla 443 ?

----------

## makoomba

per default, squid permette anche la 563.

prova con quella.

----------

## Kernel78

 *makoomba wrote:*   

> per default, squid permette anche la 563.
> 
> prova con quella.

 

FUNZIONA !!!   :Cool: 

Grazie mille per l'aiuto.

----------

## Kernel78

Porcaccia zozza, stanno cercando di fregarmi ...

Con il nuovo anno hanno impostato il proxy in modo che richieda la password.

Conosco sia username che password da usare (infatti adesso scrivo attraverso il proxy) ma se li imposto in putty mi da un bel 407 Proxy Authentication Required sia che provi dominio\utente o solo utente (e ovviamente la password).

Avete idea di come possa risolvere la situazione ?

----------

