Как завернуть все исходящие в ssh-туннель проброшенный снаружи?

0

1

Есть сервер. Для него на шлюзе админ режет все исходящие кроме некоторого белого списка адресов. Не знаю как. Не знаю список. Точнее не помню, а админ не отвечает куда он открыл доступ, а куда нет. Периодических из списка рандомно удаляются адреса. В среднем на открытие доступа к новому ресурсу уходит от двух недель, до месяца-двух. Но сейчас ситуация критическая (нужно обновить SSL сертификат до пятницы). Как быть учитывая что входящее подключение по SSH у меня есть?

Т.е. мне мыслится это как-то так, что я проброшу туда порт по SSH со своей машины и дальше воспользуюсь подключением как SOCKS5, но как блин на том сервере, завернуть ВСЕ запросы на этот вот порт который я туда прокину? И как вообще его туда прокинуть? Наоборот я умею. А в другую сторону нет.

По настройки iptables я планирую что-то такое:

iptables -t nat -N SOCKS
iptables -t nat -A SOCKS -d 10.xx.xxx.1 -j RETURN # это чтобы не перенаправлять исходящие во внутреннюю подсеть
iptables -t nat -A SOCKS -j REDIRECT --to-ports 2048 # это типа я перенаправляю все исходящие наружу на проброшенный порт
iptables -t nat -A OUTPUT -j SOCKS # теперь забрасываю все в мою новую цепочку

Очень не хочется ошибиться и потерять соединение с сервером без возможности что-то исправить. Служба IT как вы уже поняли не очень быстрая. Дай бог если к выходным перезагрузят...

Ссылка

←	Не пингуется роутер при статической маршрутизации.

Утечка памяти в Proxmox

→

Зачем вам сокс если ssh умеет поднимать tun интерфейсы из коробки? https://habr.com/post/87197/ .

Mike_RM ★
(27.11.18 23:38:17 MSK)

Ответ на: комментарий от Mike_RM 27.11.18 23:38:17 MSK

Хм... ну можно наверно попробовать. В обратную сторону это же тоже будет работать? Я так понимаю там не важно откуда куда будет пущен трафик.

Единственное напрягает, что надо разрешить подключение для root - такое могут административно не разрешить. Хотя sudo на серваке у меня есть, да.

Suntechnic ★★★★★
(27.11.18 23:49:02 MSK) автор топика

Ответ на: комментарий от Suntechnic 27.11.18 23:49:02 MSK

Так проще https://serverfault.com/questions/361794/with-ssh-only-reverse-tunnel-web-acc... . И без рута.

Mike_RM ★
(28.11.18 00:29:53 MSK)

Но сейчас ситуация критическая (нужно обновить SSL сертификат до пятницы).

Это просто отговорка, чтобы проделать для себя любимого дырку в файрволе. Ибо квотинг выше на самом деле не ваша проблема, а вашего начальства, админа и его начальства.

vodz ★★★★★
(28.11.18 10:13:07 MSK)

Ответ на: комментарий от vodz 28.11.18 10:13:07 MSK

Я уже объяснял своему начальству, что если их IT служба дала нам только SFTP доступ, но оставила exec в PHP, то если мы будем его использовать, это не означает что мы плохие. То же самое и тут. У меня есть задача и набор возможностей - я ищу как выполнить задачу в рамках этих возможностей. Я не эксплуатирую уязвимости.

Suntechnic ★★★★★
(28.11.18 12:31:12 MSK) автор топика