[Linux-bruxelles] (Jabber & Google Talk) by-pass firewall, ssh

Didier Misson didier.linux at gmail.com
Mar 14 Aou 21:31:16 CEST 2007 

Rémi Laurent a écrit :
> * Didier Misson - 14-08-2007 à 18h48:
> 
>> Au boulot, avec le proxy et les firewalls, et presque aucun port ouvert,
>> je peux avec Firefox lire mes mails, mais Gmail me dit qu'il n'a pas pu
>> établir de connexion avec Google Talk.
> 
> Ah mais en ce qui concerne le contournement de la politique de sécurité
> de sa boite on a tout un registre au FSUGAr:
> 
> http://fsugar.be/pmwiki.php?n=Admin.Jabber-SSH
> voir aussi (pas en rapport, mais utile):
> http://fsugar.be/pmwiki.php?n=Admin.Firefox-SSH
> 
> et sinon on l'avait fait passer sur la ML il y a qque temps:
> 
> A mini-HOWTO on cloaking an SSH connection in an HTTPS-like one:
> http://shsc.info/SSHThroughHTTPProxy

oh, j'ai expérimenté il y a peu... juste par curiosité !

On a un firewall tout à fait fermé, sauf le http, https mais VIA un
proxy à Bxl, relayé vers un proxy à Paris.

(oui, on enchaine les 2 ! Je ne vous dis pas les FTP par 2 proxy avec en
plus un COS (class of service) qui dit que le FTP c'est basse
priorité... ça m'est arrivé de faire des apt-get dist-upgrade à
5KBytes/sec ...)


Et bien le SSH via Proxy, sur un port 443 (c'est du crypté, donc ça ne
va pas attiré l'attention), ça fonctionne, même par DEUX proxies enchainés.

Juste qu'il faut tenir la connexion. Sinon si tu restes inactif 1 min,
ça coupe...

et dans le ssh : un tunnel, juste pour essayer... allez ! vers le port
25 par exemple.

Et si tu configures PuTTY sous Win pour faire un tunnel avec :

local : 25
distant 123.234.123.234:25

et bien quand tu fais un "telnet 127.0.0.1 25",
tu ressors sur ton PC chez toi
qui réenvoie la connexion vers le serveur distant 123.234.123.234 sur le
port 25

ça marche !

c'est une session distante dans un tunnel SSH sur un port 443 via 2
proxies et un firewall  :p)

Je n'ai pas poursuivi les essais, mais sur que je peux y faire passer
presque n'importe quoi dans les 2 sens
;-)

ah et bien oui.
Je lis la doc sur ton site.
C'est EXACTEMENT ça.
mais ça me plaisait encore plus de le faire au départ d'un PC Win2000.
Pas parce que j'aime Win2000 ... euh... (no comment)
mais car c'est encore plus marrant de by-passer la sécurité sur des PC
Win qui par définition sont BCP moins souples en possibilités et en
utilitaires que ce qu'on a sous Linux (on a tout là)


Par exemple, je pourrais installer un Thunderbird, POP/SMTP ou IMAP, via
ce tunnel, de mon PC pro en passant par mon serveur privé.

mais bon, on ne fait pas ce genre de choses hein !
:p)

C'est sympa

-- 
Didier

Google Talk : didier.misson at gmail.com
Jabber : didier.misson at amessage.be
http://didier.misson.net

Plus d'informations sur la liste de diffusion Linux-bruxelles