SSH over Apache

UNIX haladó

Sziasztok!

Megoldható valamiképpen az, hogy elérjem az adott gépen futó ssh szervert a szintén rajta futó apache-en keresztül oly módon, hogy létrehozok erre a célra egy VirtualHost-ot a 443-as porton, míg másik virtualhost továbbra is kiszolgálja a hozzá érkező http/https kéréseket?

Tehát a gépre bejönni csak 80 és 443-as porton keresztül tudok, de a 443-as portra a https miatt is szükség lenne.
Hogy oldhatom meg, hogy adott hosztnevet beírva a 443-as porton mégiscsak be tudjak ssh-n jelentkezni?

Vagyis anélkül, hogy az sshd itt várakozna.

  • 1857 megtekintés

( atlantic | 2009. 03. 01., v – 01:47 )

iptables layer 7 packet classifierrel megjelölt csomagokat szintén iptables-szel redirektálod egy virtuális IP-re, amihez bindeled az sshd-t. Teoretikus, sose próbáltam ilyet.

( csirkenatha | 2009. 03. 01., v – 18:41 )

semmi értelme! maximum még csak rontasz a helyzeten :D
Átrakod az sshd-t pl a 1022-es portra és beállítod hogy csak te ip-dről férjenek hozzá és csak a te felhasználói neveddel

-=H5N1=-

( Bbt | 2009. 03. 01., v – 19:05 )

Java alapon vannak weboldalba építhető terminal emulátorok. Azzal az elérést meg tudod oldani persze portforward és társai nem játszanak.

( VaZso v | 2009. 03. 01., v – 20:01 )

Persze, van értelme. :)
Van egy hely, ahonnan proxy mögül tudom elérni a netet.
...viszont szeretnék bejelentkezni távolról egy gépre és azon dolgozni.

Ezt jelenleg úgy tudom megtenni, hogy bejelentkezek egy másik gépre ssh-n (443) és azon keresztül érem el a célgépet, ill. bizonyos esetekben ezen a másik gépen keresztül állítok be ssh tunnelt a harmadik gépre.

Ezzel az az egyetlen gond, hogy korlátozom a saját sávszélességem ~20-25 KB/s sebességre.

Ezért szeretném elérni a gépet a közbenső (lassú hálózaton lévő) gép igénybe vétele nélkül.

Portok tekintetében csak a 443-as jöhet szóba, az összes többi portról irányuló titkosított forgalmat a rendszer visszadobja.

IP-szűrést nem tudok csinálni, mert több helyről és IP-vel be kéne tudnom jutni a gépre, valamint a fenti porton kívül másról nem tudtam bejutni.

atlantic:
Ezt az iptables-es megoldási javaslatot esetleg le tudnád írni konkrétabban?

Az a baj, hogy én is csak ötletelek, és várom hogy valaki nálam tapasztaltabb megerősítse az elméletet.
Arra gondolok, hogy a 443-as portra érkező forgalmat mindenképpen vizsgálnod kell, erre jó a layer-7 filters, SSH pattern-nal. Az így megjelölt csomagokat aztán szerintem forwardolni tudod egy olyan virtual ip-ra, ahol az sshd-t bindelted.
Bocs hogy semmi konkrétum, de ennyire nem értek hozzá. Talán tedd fel a kérdésed netfilter vagy az l7-filter levlistán...

Az a baj, hogy eddig ilyen szűrésekkel nem foglalkoztam, így ez a része egyelőre kicsit megfoghatatlan számomra.

Tehát a mondat eleje volt kevéssé értető számomra... bár ha forwardolni tudok, akkor talán virtual IP sem kell, amennyiben meg tudok adni neki egy adott, egyedi portot.
Valahogy erre a forgalomszűrésre kéne ez alapján rájönnöm.

...a másik dolog, hogy van apache-en belül valamiféle proxy lehetőség, amit talán ki lehetne használni...
...nem tudom, rá lehet-e venni, hogy adott virtualhost-ra érkező kéréseket irányítson át az sshd portjára.

Melyik suliban? :)

Végülis én is hasonló dolgot csinálok, csak nálam ez a gép ADSL-en van, ezért lassú és nem sokra használható... éppen annyira, hogy ezt a másik gépet elérjem, de olykor jól jönne a sebességtöbblet, ami a másik gépen viszont nem lenne gond...

9091-es portot viszont még nem próbáltam, megpróbálom, hátha ki lehet jutni rajt.

( shiloh | 2009. 03. 01., v – 21:21 )

Hat nem pont a kerdesedre valaszolva, de megprobalhatnad, hogy a server 53 as portjara teszel egy openvpn-t vagy barmilyen vpn progit ;)

Amugy, ha meg is oldod a forwardolast, akkor kell egy modositott ssh kliens is, mert nem hiszem, hogy ssh a bongeszohoz hasonlo utasitasokat kuld a servernek :\ annelkul meg ugye a server nem tudja, hogy melyik vhostot "mutassa".

( mgb | 2009. 03. 01., v – 21:51 )

kicsit gany meg fapados megoldas de talan mukodhet:
-csinalsz egy virtualis https szervert, amiben van egy cgi (jelszo miegyebek persze)
-megnezed a korlatozot halozatbol, itt a cgi letrehoz egy iptables atiranyitast hogy az arrol a cimrol erkezo csomagokat ami a tied atrakja a 22-es portra.
- mostmar a korlatozott halobol senki nem latja az igazi https-t viszont betudsz jelentkezni ssh-val
- valami time out vagy egyebek kell hogy megszunjun az iptables atiranyitas ha mar nem kell

mgb