Ivan's Web

Допустим у нас имеется некая машина в локальной сети (например внутренний сервер), в шелл которой мы хотим попасть через интернет. Допустим также, что через интернет можно зайти (по SSH) только на другую машину в этой же сети (например на роутер, выпускающий из локалки в интернет). Задача: сделать это максимально просто, без прокидывания портов на роутере и т.п. Естественно, задача решаема, только если доступ по SSH есть и на роутер и на целевую машину =).

1. Настраиваем и на целевой машине и на роутере вход по SSH-ключам. Настраиваем ssh-agent, чтобы не вводить постоянно пароль к своему ключу. Кстати в Fedora "искаропки" пароль для ключа спрашивается один раз в красивом окошке.
2. Ставим на роутер netcat (любую понравившуюся реализацию).
3. Прописываем в ~/.ssh/config на своей машине (с которой подключаемся) что-то типа этого:
   

   # Роутер, доступный через интернет.
   # Если для подключения используются настройки по умолчанию - ничего прописывать не нужно.
   Host external-server.example.org
       Port 12345
       User superadmin
    
   # Целевая машина.
   # В качестве имени можно указать что угодно - оно не будет использоваться для определения IP-адреса.
   # Умолчальные настройки указывать не нужно, главное - ProxyCommand.
   Host internal.frominet
       Port 54321
       User superadmin
       # 192.168.1.2 - IP целевой машины в локальной сети. Можно указать имя хоста, если настроен локальный DNS-сервер.
       ProxyCommand ssh external-server.example.org 'netcat 192.168.1.2 %p' 

4. Выполняем:
   

   $ ssh internal.frominet

5. ???
6. PROFIT! =)

Сам explorer.exe походу никак, он не хочет запускаться через runas. Но можно через runas запустить iexplore.exe, он может работать как и обычный explorer. Для упрощения можно написать небольшой BAT-скрипт:

runas /user:Администратор "C:\Program Files\Internet Explorer\IEXPLORE.EXE ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}"

UPD:
Работает только с 6-м Internet Explorer'ом =(.

Сейчас пришло электрописьмо с сообщением о том, что скрипт, который я когда-то написал непонятно зачем и уже даже об этом забыл, был добавлен в macports =).

Надо посмотреть, может там патчи накладываются. И добавить их к себе в репозиторий на гуглокоде...

Можно указать ssh опцию "PreferredAuthentications" с заведомо несуществующим методом. Примерно так:

$ ssh -o 'PreferredAuthentications abyrwalg' linux.org.ru
Warning: Permanently added 'linux.org.ru' (RSA) to the list of known hosts.
Permission denied (publickey,gssapi-with-mic,password).
 
$ ssh -o 'PreferredAuthentications abyrwalg' freebsd.org
Warning: Permanently added 'freebsd.org' (RSA) to the list of known hosts.
Permission denied (publickey,keyboard-interactive).

• password - Обычная аутентификация по паролю. Настройка в sshd_conf - "PasswordAuthentication".
• keyboard-interactive - Интерактивная аутентификация, при которой сервер что-то спрашивает, а пользователь отвечает. Часто внешне ничем не отличается от "password", но в принципе с помощью "keyboard-interactive" можно наворотить что угодно, протокол это позволяет. Если в настройках sshd включен PAM, то он будет спрашивать пароль именно с помощью этого типа аутентификации. Настройка в sshd_conf - "ChallengeResponseAuthentication".
• publickey - С помощью открытого и закрытого ключа. Настройка в sshd_conf - "PubkeyAuthentication".

Что такое "gssapi-with-mic" - хз =).

В этой заметке описан простейший способ создания самоподписанного (self-signed) SSL-сертификата для нескольких DNS-имён. Нужно это для того, чтобы браузеры не ругались при заходе на один сервер с одним сертификатом по разным именам (например example.org, www.example.org и example.info).

А вот и первая заметка: о том, как добавлять в линуксовый Chromium SSL-сертификаты, чтобы он не выдавал предупреждение при заходе по https на сайты с самоподписанными сертификатами. Скрипт для автоматизации рутины прилагается =).