Tunnel ssh

Trucs et Astuces
#1

Aujourd’hui je me suis dit qu’il etait peut etre temps de crypter ma connexion wifi, parcequ’on ne sait jamais qui rode dans les parages :wink:
J’utilise actuellement un portable et c’est un autre portable qui lui a une connexion ethernet vers internet qui me servait de passerelle.
Mes contraintes sont les suivantes:
-> Je ne suis pas administrateur de l’autre machine mais j’ai un compte ssh dessus
-> J’ai pas envie de chercher des heures
-> Usage personnel, pas besoin d’une sécurité HiTech™
-> Je n’ai besoin que d’un port, le port 3128 (squid) pour perdre mon temps à surfer.

J’ai donc crée un tunnel ssh et j’ai été très étonné de la simplicité; j’ai tappé les commandes un peu au pif et ca a marché direct.
En local sur mon ti firefox j’ai mis comme proxy : localhost, port 2020
Ensuite en local toujours, j’ai lancé ca:
ssh -L 2020:machine_distante:2020 boris@machine_distante
(rediriger localhost:2020 -> machine_distante:2020)
Puis je me connecte en ssh
ssh boris@machine_distante
et je redirige le port local 2020 vers le proxy squid (utilisé par machine_distante)
ssh -L machine_distante:2020:proxy_squid:3128 localhost

Hop ma connexion web est crypté au niveau wifi.

Pas belle la vie?

#2

niveau wifi mais seulement pour ff, et avec un proxy sur la machine passerelle :frowning:
Mais pour l’exemple, c’est interressant.

#3

La passerelle n’a que acces au proxy ou aussi aux autres ports?

#4

[quote=“MattOTop”]niveau wifi mais seulement pour ff, et avec un proxy sur la machine passerelle :frowning:
[/quote]
Oui oui effectivement seulement pour ff.
Et non pas de proxy sur la passerelle,une fedora core 5 (pas tapper) c’est du NAT fait avec firestarter, ca a pris environ 2mn30 pour le mettre en place.

[quote]
Mais pour l’exemple, c’est interressant.[/quote]
C’est pour l’exemple seulement que je l’ai mis. Faut biensur faire attention a ce qu’on fait. Disons que le ratio fonctionnalite/temps passe est optimal :slightly_smiling:
Sur la passerelle, seule ma debian peut etre translatee

La passerelle choppe en dhcp tout ca mais ensuite sur le routeur par defaut (de la passerelle), tout est interdit. Seul l’acces au proxy est libre (comme dans beaucoup d’entreprises en fait…)

#5

OK ca explique l’interet de ta solution

#6

J’ai hesite a mettre un openvpn mais pour un port… pis j’ai entendu dire que en mode bridge c’etait pas evident :slightly_smiling:

#7

[quote=“BorisTheButcher”]J’ai hesite a mettre un openvpn mais pour un port… pis j’ai entendu dire que en mode bridge c’etait pas evident :slightly_smiling:[/quote]bon ok demain je fais un tuto sur le bridge openvpn.

#8

Ah ouais interessant. Je demanderai a mon pote qui a la fedora comme ca je teste, juste pour le fun.

#9

bon, j’etais parti sur un tuto d’install de linux les mains dans les poches depuis windows, mais comme je n’y arrive pas pr l’instant, je vais faire un pipo openvpn (mais bon, je suis entouré, donc je ne peux pas faire mon autiste toute la journée sur la bécane: il va falloir que je trouve des tranches au calme pour ça).

#10

Je suis pas préssé je galère depuis ce matin avec mon p***in de initrd :smt076 , je pense que je vais demander de l’aide ici vu que y a un fil qui en parle.

#11

un initrd est un filesystem presque comme un autre: tu le decopresses et tu le montes sur un loop, et tu y mets ce que tu veux.

#12

Je viens de trouver un paquet interessant:

[quote]Package: secvpn
Priority: optional
Section: net
Installed-Size: 388
Maintainer: Bernd Schumacher bernd.schumacher@hp.com
Architecture: all
Version: 2.20
Depends: bc, ssh, ppp, timeout, sudo
Filename: pool/main/s/secvpn/secvpn_2.20_all.deb
Size: 223484
Description: Secure Virtual Private Network
secvpn builds a VPN based on ssh and ppp as described
in the Linux VPN HOWTO. (Please look there for further
information) All necessary routing on the secvpn
hosts will be done by secvpn. Secvpn will try to
reestablish broken connections automatically.
Tag: accessibility::speech, network::vpn, use::routing, works-with::file[/quote]

offtopic (pb d’initrd):
oui je sais exactement ce que c’est et comment gerer les loop mais je me suis dit que utiliser soit mkinitramfs soit update-initramfs devraient marcher.

Tout ca parceque j’ai voulu prendre linux-image-2.6.17-2 en binaire et non pas le refaire moimeme. Tout est foutu en module, pire tous les modules sont foutus dans l’initrd (ranapeter d’avoir les modules snd dans l’initrd…).
Et depuis que j’ai voulu tweaker le biniou il me sort que g pas de dma sur mon disque (hdparm me sort permission denied ioctl DMA bidule) Je pense a cause d’ide-generic qui est chargé alors qu’il devrait pas.
Je fatigue grave là :cry: , je viens d’installer yaird en suivant le fil de bluenote.

[quote] Compared with earlier implementations like mkinitrd, it does a
better job of deciding which modules are needed for your system,
[/quote]

Ah ben ca peut pas etre pire que mkinitrd, c’est simple il me colle tout et n’importe quoi le mkinitramfs

edit: merci Matt . En fait j’aurai du le faire moi-meme comme tu disais car mkinitrd et meme yaird me prenait les mauvais modules.