Passer un firewall sans l'aide d'un proxy

Salut à tous
J’édite le message pour plus de clarté:
N’ayant plus d’accès à un serveur, donc plus de possibilité de tendre un tunnel ssh via proxy.

Je cherche donc le moyen de connecter mes applications à internet au travers d’un firewall trop restrictif, en les redirigeant vers le port 443. ssh serait-il une possibilité ?

[quote]message original
(je ne sais pas où poster ce sujet relatif à du réseau, si nécessaire je le déplace)
J’avais accès à un serveur, je me connectais de cette façon
code:
ssh -fnNqTC -D 9999 -p 443 login@server.truc
mais depuis un certain temps, je n’ai plus d’accès à ce serveur (je ne suis pas l’admin).
Je suis aujourd’hui face au problème classique d’être connecté derrière un firewall qui bloque des choses (genre chat, et autres).

Je cherche le moyen de me connecter, ou de rediriger les appli intéressées vers le 443, donc sans connection par un proxy distant.
en gros plutôt que ce modèle:
code: |random _ |
web browser (| \ |443 web server
server.truc
| |22
celui-ci:
code: |443 ____|internet
web browser ___(|
localhost:2012 |2012[/quote]

Je déplace ce post dans SD (Support Debian) où tu auras plus de chance de trouver réponse.
Si PascalHambourg est de retour, il va te conseiller rapidement, sinon, il y plusieurs autres spécialistes de la chose.
Je laisse un sujet traceur ici pour que tu ne sois pas perdu.

noté et merci.
tu peux supprimer ce post de ‘programmation’ si tu veux

Je ne comprends rien à ton schema, si tu veux te connecter à un serveur Web, tu inities une connexion de ta machine locale IP,port_quelconque vers IP_du_serveur,port80. Le numéro de ton port de départ n’a aucune incidence sur le parefeu (ou bien celui ci est mal fait). Tu veux contourner le" parefeu en passant par le port 443, fort bien c’est cela signifie que tu dois viser une machine extérieur sur le port 443, laquelle machine redirigera la connexion, en clair soit un tunnel, soit un proxy, soit un VPN.

(J’ai édité le sujet pour qu’il soit plus clair)
donc je cherche à passer au travers d’un firewall, sans proxy.

Je partais de l’idée de chercher des options de ssh pour rediriger la sortie du tunnel ssh, non pas vers un proxy, mais vers le port 443 en interne, afin que les applications bloquées (notamment outils de chat, video-conf, etc) puissent accéder au net, dans ce cas de défaut de proxy

Je ne comprends absolument pas ta dernière phrase: «rediriger la sortie du tunnel ssh, non pas vers un proxy, mais vers le port 443 en interne…»

Quel tunnel? Si tu n’as pas de serveur, tu n’as pas de connexion ssh, tu ne peux rien faire. Ce que tu faisais avant était un tunnel ssh utilisant le port 443, tu établissais une connexion ssh sur un serveur écoutant sur le port 443 (donc non coupé par le parefeu), les connexions arrivant sur ton port local 9999 étaient acheminées sur le serveur et redistribuées. Sans ton serveur, tu ne peux rien faire avec ton ssh.

ok, alors oublions ssh (je modifie le titre alors)

Je souhaite passer au travers d’un firewall mes applications bridées par celui-ci, sans l’aide d’un proxy. - sans doute plus simple comme ça -

Bon, pour cela tu as besoin d’une machine extérieure. En as tu une? Sinon, tu ne peux pas, il est heureux qui parefeu ne puisse se contourner si simplement.

En gros, tu veux qu’une application bloquée par le firewall puisse fonctionner mais tu ne peux définir un proxy sur cette application, c’est bien ça ?

Si c’est le cas, c’est assez complexe mais faisable.
Tu dois tout d’abord, trouver sur quels ports/ip-dns ton application veut se connecter puis grace au fichier host, tu dois les renvoyer vers localhost, sur un port que tu as ouvert à l’aide du tunnel SSH puis depuis ton PC externe, les récupérer et les rediriger sur la bonne adresse de destination.
Il me semble que j’avais réussi à faire fonctionner ça. Je crois pas qu’il existe d’autres solutions.

Oui mais il dit ne pas avoir de machine extérieure…

oui, c’est celà, je ne dispose pas d’une machine extérieur.

warnings, je veux juste faire passer jabber (par exemple) par un firewall qui bloque les chat, sans l’aide d’un proxy car pas de machine extérieur.

Comme déjà expliqué par fran.b, sans machine extérieure qui serve de proxy (ou de point d’arrivée pour un tunnel, ce qui revient au même), ça n’est pas possible, point final.

Tu ne peux pas décider en local sur quel port le service distant fonctionne.

Il te faut dans tous les cas un relay !

Sinon, tu peux toujours essayer “Tor” qui utilise des relays sur les ports 80/443 si tu le spécifies.
Mais ce n’est pas garantie que ça marche, c’est quand même filtré dans certaines entreprises et attention à la config pas que cela génère trop de traffic.

J’ai bien compris que sans un serveur externe c’est un peu cuit.

Warnings, Tor utiliserais les port 80/443 certes, mais il ne redirigerait pas les autres applications si ? Mais je suppose que ce serait alors très compliqué.

Après, il faut utiliser un client jabber qui supporte un proxy.
Sinon, ce n’est pas faisable.

tsocks peut-être, non ?

Aucune idée, jamais testé sous linux, sous Windows il existe des softs mais ça marche très mal en général

Tsocks se débrouille peut-être mieux ?

Merci pour la piste
tsocks ? j’ai ouvert les man, wiki and co, et je regarde celà. Il me faudra du temps, je reviendrai quand je serai au point dessus.

tsocks précharge une bibliothèque à lui, via LD_PRELOAD, pour intercepter les appels d’un process aux fonctions réseau du kernel et rediriger de manière transparente les communications à travers un proxy SOCKS.
Ça marche très bien, le mécanisme LD_PRELOAD étant justement prévu pour faire ce genre de choses.

Sous Windows il n’y a pas d’équivalent à LD_PRELOAD.
Le moyen le plus “propre” (j’ai failli m’étouffer) pour modifier le comportement des fonctions du kernel est d’injecter une bibliothèque dans l’espace mémoire d’un process déjà chargé, puis de modifier la mémoire du process en refaisant à la main le boulot du linker dynamique, à savoir faire la liaison entre les noms de fonction et leur adresse mémoire. Sans entrer dans les détails, c’est un peu comme faire une greffe de cœur en utilisant exclusivement une tronçonneuse : en théorie les chances de réussite ne sont pas tout à fait nulles, mais en pratique… Et je préfère ne même pas parler de l’autre alternative, qui s’apparente plus à un marteau-piqueur qu’à une tronçonneuse.
Bref, pas étonnant que « ça marche très mal en général ».

Effectivement ça semble sympa sous Linux
Sauf que le princiapal problème sous Linux, je n’ai encore jamais vu une application qui se connectait au web sans avoir un endroit où paramètrer le proxy (ah si peut-être les git, svn et ces autres bêtes-là où j’ai dû ouvrir le port mais je n’avais pas trop chercher non plus à faire passer ça à travers le proxy…)
Mais, je note ça car je vais bien devoir l’utiliser sur une applic

Sinon pour Windows, là tu as utilisé THE METHOD !
Tu as pas trouvé encore plus complexe ?
Bon je sais bien que Windows n’est pas Linux est donc n’est pas libre et on est assez limité au niveau des actions mais moi je parlais d’un petit programme trouvé sur le net qui fonctionne je ne sais plus comment ni son nom mais qui “proxyfiait” la chose. (je sais pas si ce verbe existe )

Une application du genre : clubic.com/telecharger-fiche … ifier.html
Je n’ai pas testé mais la description colle par contre si je me souviens bien, le soft que j’avais utilisé marchait qu’avec un proxy socks. Et certaines applications marchaient d’autres pas du tout et j’avais vite abandonné la chose.

Finalement j’ai trouvé, c’était lui : babin.nelly.free.fr/cap.htm
Avec la petite casquette 32 bits

N’empêche que je n’ai pas encore passé mon PC sous Linux, je n’ai qu’un serveur mais plus je vois les Windobs Vista,7,8 et j’ose pas imaginer les suivants, plus je me rapproche de Linux et du monde non bridé à comment Microsoft voit la chose pour nous
Sinon pour le moment, j’ai toujours pu faire ce que je voulais sous Linux jamais été bridé quelque soit l’idée farfelue me venant à l’esprit
(Ah si, tu ne connais pas un détecteur/supresseur de pub automatique par un pur hasard lors de l’encodage ? Ca je n’ai pas trouvé et je ne serais pas capable de le faire moi-même même si ce serait techniquement possible )