Tunnel SSH ?

[zoup1]

Bonjour,

Voilà... j'ai une machine chez moi sous Linux ou sous Windows branchée sous free ADSL. J'ai 3 machines au boulot. La première est un serveur sous Linux. Elle est visible depuis l'extérieur au travers des services sshd et httpd. J'ai un contrôle complet sur cette machine, cependant il y a un firewall entre elle et l'extérieur qui ne laisse sortir que les services sshd et httpd (par contre je n'ai pas le contrôle de ce firewall).
La deuxième est aussi un serveur (sous freeBSD) dont j'ai également le controle complet. Par contre cette machine n'a aucun port ouvert vers l'extérieur à travers le même firewall. Par contre, il n'y a aucun firewall entre mes 2 serveurs.
Enfin la troisième machine est un serveur (sur lequel je n'ai que des droits d'utilisateur normal) qui est accessible depuis l'extérieur au moins au travers de ssh. Cette machine me permet de me connecter directement sur la deuxième machine du boulot également à travers ssh. Ouf...

Bref, je voudrais pouvoir accéder directement à travers ssh ou http sur ma seconde machine à partir de chez moi. J'ai l'impression que le tunneling ssh devrait me permettre de faire cela mais je n'en suis pas vraiment sur. De plus j'ai bien l'impression de pas comprendre grand chose quand je lis des trucs sur le tunneling ssh.

Pouvez-vous m'aider ?

NB : Je suis conscient que la situation est un peu confuse... Je devrais peut-être faire un dessin pour éclairer les choses ?

Merci d'avance.
-----

[invite4a7ad6a4]

Salut,

Effectivement un petit schéma pourrait aider à mieux visualiser ton architecture.
Indique si tu peux le circuit de la connexion que tu souhaites.
Par contre, si c'est pour accéder à tes serveurs de ton boulot, je te le déconseille, c'est un gros trou de sécurité.
Après tout dépend de ce que tu souhaite effectuer comme opération depuis l'exterieur.

@+

[zoup1]

Ce serait déjà pas mal si je pouvais faire du ssh directeement de n'importe laquelle des machine vers n'importe laquelle des machines. Pour le moment je suis obligé d'utiliser l'une des machines comme relais. C'est pas bien embétant pour faire le ssh simple mais plus pour faire le scp. Cependant, mon problème est en partie résolu puisque maintenant je sais faire du ssh sur ma machine personnelle (voir autre fil de la même date). Du coup j'ai moins besoin de faire du tunnelling, mais cela m'embête car je vois bien qu'il y a un truc que je ne comprend pas dans le tunnelling... je sais pas bien quoi d'ailleurs... A la limite si il y avait un document qui explique ce que c'est exactement que faire du tunnelling quelles en sont les possibilités et limites. La tout à un niveau de technicité qui correspond exactement à mon niveau de technicité (c'est comme cela que j'aime les doc techniques), ce serait parfait.

[invite4a7ad6a4]

Le principe du tunneling est de te permettre de faire passer tout ce que tu veux (SMTP,POP,etc.) au travers d'un canal de comm unique (SSH ou autre). C'est très utile pour passer des pare feux et Cie. mais c'est à double tranchant (c'est autant utilisé par les entreprises pour les communication entre réseaux internes distants, que par les hackers...).
L'ami Google te donneras plein de lien, j'ai fais une recherche ("tunneling SSL" sites francais), tu as de tout et des trucs qui devraient correspondre à ton besoin.

Moi j'ai étudié la question il y a quelque mois, mais l'audit sécurité a refusé du coup en pratique j'ais pas fait.

Bon courage

@+

[A voir en vidéo sur Futura]

[zoup1]

Merci pour ta réponse, mais à vrai dire je n'ai rien trouvé qui me renseigne vraiment. Tout ce que j'ai trouvé était soit trop basique... avec des exemples d'application si peu détaillé que je n'arrive pas à en saisir les mécanismes.
soit trop technique... avec des exemples d'application si peu ou tant détaillé que je n'arrive pas non plus à en saisir les mécanismes.

[zoup1]

Bon, j'ai progressé mais j'ai encore besoin d'aide...
Tout d'abord je reprends la situation :
J'ai trois machine toutes sur Linux ou FreeBSD ou un unix quelconque...
Toutes sont clientes et serveur ssh
la machine 1 s'appelle M1.home.fr et est ma machine personnelle sur une connection freeADSL avec une freebox en mode routeur. Mon login sur cette machine est "moi".
La machine 2 s'appelle M2.ici.fr et est un serveur de mon labo. Mon login sur cette machine est "lui"
La machine 3 s'appelle M3.work.fr et est ma machine professionnelle. Mon login sur cette machine est "moi"

Je veux me connecter de M1.home.fr vers M3.work.fr via ssh. Je ne peux à prioiri pas le faire car il y a un "truc" qui bloque l'accès à ssh sur M3 depuis le monde extérieur. Mais je peux me connecter en ssh depuis M2.ici.fr

Depuis M1.home.fr, je peux faire
ssh lui@M2.ici.fr
pour ouvrir une session sur M2. Puis de cette session je peux faire un
ssh moi@M3.work.fr


Ce que je souhaiterais c'est de pouvoir faire depuis M1.home.fr directement un ssh vers M3.work.fr

J'ai réussi à faire cela en faisant un fichier de config pour ssh
j'ai fait un fichier $HOME/.ssh/config comme ci dessous

Code:

host M2
 hostname M2.ici.fr
 user lui
 localforward 8022 M3.work.fr:22
host M3
 hostname localhost
 port 8022
 user moi

Et merveille, cela fonctionne...
Pour cela depuis M1.home.fr je fais d'abord :
ssh M2
Cela m'ouvre alors une session sur M2.ici.fr et installe le tunnel. Je dois garder cette session ouverte (c'est cela qui m'embête dans cette façon de procéder)
Ensuite, toujours à partir de M1.home.fr (d'un autre shell) je fais un :
ssh M3
et ô merveille, cela m'ouvre une session vers M3.


Bon, c'est vraiment pas mal, et je comprends à peu près ce que je fais (mais pas vraiment tout...)

J'ai cru comprendre que l'on pouvait faire le même genre de choses sans utiliser le fichier .ssh/config de configuration de ssh mais en utilisant une commande du genre :
ssh -N -f -L 8022:M3.work.fr:22 M2.ici.fr
qui devrait m'installer le tunnel...
Cela installe effectivement quelque chose puisque si je relance la commande, on me dit que le port 8022 est déjà utilisé (ou quelque chose dans le genre).
Mais ensuite je n'arrive pas du tout à faire un ssh sur M3.work.fr

Et là je comprends plus du tout...

Voilà, désolé, ce fut un peu long, mais je pense que mes premiers messages nécessitait quelques éclairages... SI quelqu'un peut m'aider je lui en serait reconnaissant.

Merci