LINUX.ORG.RU
ФорумAdmin

Как завернуть все исходящие в ssh-туннель проброшенный снаружи?

 , , ,


0

1

Есть сервер. Для него на шлюзе админ режет все исходящие кроме некоторого белого списка адресов. Не знаю как. Не знаю список. Точнее не помню, а админ не отвечает куда он открыл доступ, а куда нет. Периодических из списка рандомно удаляются адреса. В среднем на открытие доступа к новому ресурсу уходит от двух недель, до месяца-двух. Но сейчас ситуация критическая (нужно обновить SSL сертификат до пятницы). Как быть учитывая что входящее подключение по SSH у меня есть?

Т.е. мне мыслится это как-то так, что я проброшу туда порт по SSH со своей машины и дальше воспользуюсь подключением как SOCKS5, но как блин на том сервере, завернуть ВСЕ запросы на этот вот порт который я туда прокину? И как вообще его туда прокинуть? Наоборот я умею. А в другую сторону нет.

По настройки iptables я планирую что-то такое:

iptables -t nat -N SOCKS
iptables -t nat -A SOCKS -d 10.xx.xxx.1 -j RETURN # это чтобы не перенаправлять исходящие во внутреннюю подсеть
iptables -t nat -A SOCKS -j REDIRECT --to-ports 2048 # это типа я перенаправляю все исходящие наружу на проброшенный порт
iptables -t nat -A OUTPUT -j SOCKS # теперь забрасываю все в мою новую цепочку
Очень не хочется ошибиться и потерять соединение с сервером без возможности что-то исправить. Служба IT как вы уже поняли не очень быстрая. Дай бог если к выходным перезагрузят...

★★★★★

Ответ на: комментарий от Mike_RM

Хм... ну можно наверно попробовать. В обратную сторону это же тоже будет работать? Я так понимаю там не важно откуда куда будет пущен трафик.

Единственное напрягает, что надо разрешить подключение для root - такое могут административно не разрешить. Хотя sudo на серваке у меня есть, да.

Suntechnic ★★★★★ ()

Но сейчас ситуация критическая (нужно обновить SSL сертификат до пятницы).

Это просто отговорка, чтобы проделать для себя любимого дырку в файрволе. Ибо квотинг выше на самом деле не ваша проблема, а вашего начальства, админа и его начальства.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Я уже объяснял своему начальству, что если их IT служба дала нам только SFTP доступ, но оставила exec в PHP, то если мы будем его использовать, это не означает что мы плохие. То же самое и тут. У меня есть задача и набор возможностей - я ищу как выполнить задачу в рамках этих возможностей. Я не эксплуатирую уязвимости.

Suntechnic ★★★★★ ()
Ответ на: комментарий от Mike_RM

Ага - именно это я и собирался использовать. Верно - мне нужно это - ssh root@target -R2048:localhost:54321.

Сегодня буду пробовать если получу добро от своего начальства - остается вопрос правильно ли я накидал правила для iptables.

Suntechnic ★★★★★ ()

sshuttle вроде называется готовое решение, ЕМНИП.

kardapoltsev ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.