Usando SSH desde una red cerrada



NERD POST ALERT

No todos los ámbitos laborales tienen proxys tan sensibles. La mayoría suele ser "Tenés todo libre", "Tenés todo libre y te bloqueo el P2P" o "Te bloqueo todo y divertite con la web de la intranet de la empresa, hecha con Front Page por el sobrino de la hermana de mi cuñado".

En cambio, otros tenemos la condenada suerte de tener un proxy bien armado que filtra muchas cosas. Entre ellas todo lo referido a SSH: puerto (22) o por filtrado de paquetes.

Esto provoca que por más que cambiemos el puerto (si tenemos la suerte de acertar alguno al azar que este abierto), el proxy lo va a rechazar porque la peticion es SSH.

Yo necesitaba conectarme a la Raspberry de casa para poder divertirme desde el trabajo en los tiempos libres y adelantar algún que otro proyecto hogareño.

La solución?
1) Rápida y menos segura: usar algún servicio SSH web based, súper inseguro que vaya a saber uno por donde pasan nuestros datos.
2) Rápida, mas segura y mas divertida: Montar mi propio servidor SSH Web Based.

A continuación la respuesta...



Para comenzar con la segunda opción necesitamos algunas cosas basicas:

Primordial: tener un servicio tipo no-ip para evitar problemas con las ip dinámicas de nuestras casas y tener fowardeado el puerto 22 al dispositivo que nos querramos conectar por SSH.

Un lugar donde poder alojar el servicio que vamos a instalar. En mi caso lo hice en un VPS con Ubuntu 12.04 LTS. También se podría hacer con alguna pc/raspberry que tengan en sus casas y evitar el costo del VPS, pero ya que contaba con mi servidor virtual, fui a lo seguro.

Si hacen como yo y optan por el VPS, lo que van a hacer es un pequeño "Inception" de SSH, ya que se conectarían via web a la consola SSH del VPS y una vez dentro de ella, otro SSH a nuestro "Destino final" (y les metí dos películas en una sola línea. Imposible nerdearla mas)

Basta de chachara, vamos a meter dedo.

Como siempre para estas cosas es ideal tener nuestros repositorios actualizados

$ sudo apt-get update


Una vez actualizados los repos, instalamos

$ sudo apt-get install openssl shellinabox


Parece que por algún motivo que no me moleste a investigar por ahora, esto bajo Ubuntu 12.04 no se instala de la manera tradicional, por lo que es necesario bajar el .deb desde los repositorios de Ubuntu

(en mi caso particular no instale el openssl y todo funcionó igual)

$ wget http://archive.ubuntu.com/ubuntu/pool/universe/s/shellinabox/shellinabox_2.14-1_i386.deb


(Si necesitan el paquete de 64 bits el nombre es: shellinabox_2.14-1_amd64.deb)

Después instalamos

sudo dpkg -i shellinabox_2.14-1_i386.deb


Una vez concluída la instalación, solo nos queda configurar que tipo de puerto vamos a usar para conectarnos.

Podemos tranquilamente utilizar el puerto 443 en vez del 80, y seguimos manteniendo el standard de seguridad, usando https (como es mi caso)

Detenemos el servicio

$ sudo service shellinabox stop


Y modificamos los parametros de configuración

$ sudo nano /etc/default/shellinabox


Y modificamos las lineas

# TCP port that shellinboxd's webserver listens on
SHELLINABOX_PORT=443

# specify the IP address of a destination SSH server
SHELLINABOX_ARGS="--no-beep -s /:SSH:TU.NUMERO.DE.IP.O.DNS"


Luego de esto, reiniciamos el servicio

$ sudo service shellinabox start


Podemos verificar su funcionamiento

$ sudo netstat -nap | grep shellinabox


tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 12274/shellinaboxd


Ya en el navegador podemos probarlo entrando a http://TU.IP.O.DOMINIO:443 con tus credenciales necesarias y listo.



Ya pueden usar todo los servicios de SSH de manera web, a traves de puerto 443 y salteando ese condenado proxy.

Diviértanse.

Fuente TecMint



Nota del Editor: Gracias a Emiliano por la nota, es obvio que no es el único método obviamente, se usa mucho el Tuneling, así que en los comentarios pueden dejar el propio! y si quieren enviarlo en forma de nota como él, bienvenido sea en estas páginas, acepto posts de afuera Guiño

Otros posts que podrían llegar a gustarte...

Comentarios

  • Lelale    

    No necesitás avisar de que es un nerd post :D Con el título ya sale a flor de piel

    • Responder
    • Citar
    • Comentado:
  • pen pen    


    Esto me serviría para entrar a Facebook?? bah igual para que, no tengo faceboo

    Interesante nota

    • Responder
    • Citar
    • Comentado:
  • RAYDave    

    # apt-get install links :D

    • Responder
    • Citar
    • Comentado:
  • Yo estoy en el trabajo detras de un servidor ISA que no me deja usar nada de streamin ni entrar a algunas paginas (como esta por ejemplo:D).
    Instale el Openwrt en el router de casa, redireccionando el puerto 443 (que el isa no bloqueaba) al server ssh que incluye el firmware del router en el puerto 22.
    Despues con en Putty intente conectarme pero el servidor me bloqueaba el tipo de paquete por problemas de autentificacion.
    Asi que termine usando el Ntlmaps para que se logueara en el proxy del laburo y se conectara al router de mi casa (ip fija de fibertel) dejandome un nuevo proxy en el localhost puerto 8181, de ahi con el putty conexiono a localhost:8181 y tuneleado de puertos, luego cambio de proxy en el firefox y listo!
    Parece un quilombo pero una vez configurado es hacer dos clicks y queda abierta la conexion.
    Despues queria controlar la pc server/descargas de casa asi que lo unico que tube que hacer es un mapeo de puertos del puerto 5800 del router al 5800 de la pc en cuestion y ya la controlaba con vnc (previo tuneleado con el Putty).

    • Responder
    • Citar
    • Comentado:
  • Despues de leer lo que esribi me di cuenta que esta mal escrito streaming y esta muy mal redactado. Nunca mas me pongo a comentar algo tecnico mientras "hago mis necesidades".

    • Responder
    • Citar
    • Comentado:
  • Cattel    

    Te faltó el disclaimer diciendo que si rajan a alguno del laburo por sospecha de terrorismo internacional indetectable por CSI no es reponsabilidad del autor.

    • Responder
    • Citar
    • Comentado:
  • DrMato    

    ¿nano????? arggghhhhhhhhhh :D

    • Responder
    • Citar
    • Comentado:
  • Sebastian    

    Muy interesante Fabio, a favoritos
    una vez recuerdo haber podido conectarme desde el laburo que tenian un monton de firewalls
    (lo unico que podia ver era la intranet una mierd.. por cierto) a mi casa atravez de NX usando tunelling y cosas asi y manejar mi pc, me senti como un hacker ese dia jaja Guiño

    Lo que comento electropalar es muy util casi obligatorio de hacer en lugares donde te bloquean el internet y es necesario surfear por la web y cagar a los garcas que te quieren negrear.

    Saludos

    • Responder
    • Citar
    • Comentado:
  • Guille    

    Yo uso 2 métodos muy simples, luego de configurar Apache con PHP , SSL y dns dinámico:
    1) Php file manager, es phpfm, permite operaciones sobre archivo y tiene un botón de shell
    2) Php proxy, es phproxy

    si se dan maña hasta en winchot lo pueden hacer
    googleen

    • Responder
    • Citar
    • Comentado:
  • electropalar dijo:

    Despues de leer lo que esribi me di cuenta que esta mal escrito streaming y esta muy mal redactado. Nunca mas me pongo a comentar algo tecnico mientras "hago mis necesidades".


    no hay como redactar cagando, priceless :D

    • Responder
    • Citar
    • Comentado:
  • Oscar    

    Hello Admin.

    Your tours from xvideos to honchobears.net has been recorded.

    Sudo, enable tunneling or else...

    Regards.

    • Responder
    • Citar
    • Comentado:
  • Dave    

    En mi caso, soy yo quien no te deja navegar o bloquea aquellas paginas que \\\"dicen\\\" ser de ocio; excepto FABIO Guiño.

    Firewalls, web filters, politicas de seguridad, permisos, etc. etc., algo siempre se escapaba.

    La mejor solución fue: CONEXION Fibertel 6Mb Wi-Fi para todos y que ahí hagan lo que se les antoja, con cierta \\\"carpa\\\" Guiño, con sus Mobiles, notebooks y demás cosas personales.

    Equipos dentro del dominio solo dentro de la red coorporativa.

    Slds.-

    • Responder
    • Citar
    • Comentado:
  • Jonyx4    

    interesante, gracias!

    • Responder
    • Citar
    • Comentado:
  • Dave dijo:

    En mi caso, soy yo quien no te deja navegar o bloquea aquellas paginas que \\\"dicen\\\" ser de ocio; excepto FABIO Guiño.

    Firewalls, web filters, politicas de seguridad, permisos, etc. etc., algo siempre se escapaba.

    La mejor solución fue: CONEXION Fibertel 6Mb Wi-Fi para todos y que ahí hagan lo que se les antoja, con cierta \\\"carpa\\\" Guiño, con sus Mobiles, notebooks y demás cosas personales.

    Equipos dentro del dominio solo dentro de la red coorporativa.

    Slds.-


    un sysadmiiiiin coorrraaan :D peligro! :D jajaja

    es importante que no le pongas el flag "ocio" a este blog tan servicial :D

    • Responder
    • Citar
    • Comentado:
  • walter    

    http://www.agroman.net/corkscrew/

    • Responder
    • Citar
    • Comentado:
  • Tabris    

    Hace seis meses que laburo de sysadmin y no me gusta ser el "botón" ni el "bloqueador".
    Por suerte el bloqueo acá se reduce a Facebook y "afines" para que no se pongan a boludear y jueguitos de navegador enviciantes. Pero no se les impide conectarse a sus casas o sshs o lo que quieran. También se les da una play, onda: "si vas a jugar, que sea un PES".

    En las estadísticas Fabio gana todos los jueves y todos los viernes, cuando digo gana es que es el top #1 de visitado/cacheado durante esos días, más que el CVS.

    Yo lo leo todos los días, pero hay un "público pop" que entra solo jueves y viernes.

    Mi peor momento de botón fue cuando me tocó decir quien se comía el ancho de banda mirando ESPN en HD.

    • Responder
    • Citar
    • Comentado:
  • Pablo L    

    Gente, disculpen, pero este post y comentarios deben ser borrados ya que es sumamente "self defeating" por servir mas que nada para avivar a los responsables de mantener esos p*t*s proxies/firewalls.

    Habiendo dicho eso... les cuento que nunca nada me funcionó tan bien como openvpn por túnel https, es la libertad TOTAL... es conectar tu PC de escritorio de la oficina a la red de tu casa como si te conectaras directamente a la wifi o ethernet... todo funciona: ping, ssh, irc, http (sin filtros), tu p2p favorito, etc, etc, etc.

    • Responder
    • Citar
    • Comentado:
  • Pablo Grr    

    buenas, buen post, hace tiempo estuve por armar algo del estilo ya que en el laburo solo me dejan salir al puerto 80, pero zafé utilizando el putty, yendo contra el puerto 80 de mi router y obviamente especificando que el protocolo es ssh. En el router de mi casa redireccione del 80 al 22 y listo, el proxy del laburo comió de la mano :D

    • Responder
    • Citar
    • Comentado:
  • Dave    



    Al menos tenes una clasificación CIERTA!!!!

    • Responder
    • Citar
    • Comentado:
  • Dave    

    Dave dijo:



    Al menos tenes una clasificación CIERTA!!!!



    http://www.subeimagenes.com/img/fabio-772160.html

    • Responder
    • Citar
    • Comentado:
  • Dave dijo:



    Al menos tenes una clasificación CIERTA!!!!


    esto no es un foro :|

    • Responder
    • Citar
    • Comentado:
  • TaiSHi    

    Gran sufrimiento que hemos sufrido (a redundar :P), benditos fireguales pedorros que nos ponen para limitar la porneta.
    Fuera de eso, me hiciste acordar a aquella época en la que Fiber limitaba el P2P (y el Warcraft 3!!!!), y todos decían "Nos limitan el download".
    No. Era el upload. 1kb/s :P

    Y vos Fabio? SSH desde workstations Windows alguna vez?

    • Responder
    • Citar
    • Comentado:
  • Emiliano    

    DrMato dijo:

    ¿nano????? arggghhhhhhhhhh :D


    Si, dale. Sinceremonos de una vez. VI es inusable. Poco amigable y los comandos son imposibles!! =P


    Dave dijo:
    En mi caso, soy yo quien no te deja navegar o bloquea aquellas paginas que \\\"dicen\\\" ser de ocio; excepto FABIO Guiño.

    Firewalls, web filters, politicas de seguridad, permisos, etc. etc., algo siempre se escapaba.

    La mejor solución fue: CONEXION Fibertel 6Mb Wi-Fi para todos y que ahí hagan lo que se les antoja, con cierta \\\"carpa\\\" Guiño, con sus Mobiles, notebooks y demás cosas personales.

    Equipos dentro del dominio solo dentro de la red coorporativa.

    Slds.-


    Creo que aca hacen algo similar, aunque con mas ancho de banda. Me parece una buena solucion, porque boludear con el celular se aseguran que no te la pases 8 hs pegados al boludeo (en la mayoria de los casos)

    • Responder
    • Citar
    • Comentado:
  • Macau    

    Algo que nunca voy a comprender es el blokeo sistematico de paginas o protocolos para evitar el "boludeo" en el trabajo.
    Es facil, te dan laburo, una fecha de entrega y listo, si lo terminas a tiempo, hace lo que se te cante el culo, queres estar todo el dia en facebook y terminarlo en 5 minutos? Dale! Mientras entregues y rindas no importa que hagas.(obvio que por cuestiones de seguridad algunas cosas deben ser filtradas, ejorn, et all)
    Aca solo filtro cosas jodidas, tenemos wifi libre de 50 mbps para inet y una red con 1gbps en fibra para el resto. No veo la hora de que los dinosaurios mueran y el ambiente laboral cambie para mejor en general.

    • Responder
    • Citar
    • Comentado:
  • Tabris    

    50 Mb para boludear. Toneladas de dinero.

    • Responder
    • Citar
    • Comentado:
  • Macau dijo:

    Algo que nunca voy a comprender es el blokeo sistematico de paginas o protocolos para evitar el "boludeo" en el trabajo.
    Es facil, te dan laburo, una fecha de entrega y listo, si lo terminas a tiempo, hace lo que se te cante el culo, queres estar todo el dia en facebook y terminarlo en 5 minutos? Dale! Mientras entregues y rindas no importa que hagas.(obvio que por cuestiones de seguridad algunas cosas deben ser filtradas, ejorn, et all)
    Aca solo filtro cosas jodidas, tenemos wifi libre de 50 mbps para inet y una red con 1gbps en fibra para el resto. No veo la hora de que los dinosaurios mueran y el ambiente laboral cambie para mejor en general.


    es que un despido es más caro que un firewall :D

    • Responder
    • Citar
    • Comentado:
  • Sebas    

    ¡Vamooooo! Me vino al pelo esta solución porque en mi facultad los HDP bloquean SSH (me parece que con pfsense) y no puedo conectarme al router de mi casa ¡en la clase de Redes!

    Lucharé nuevamente :D

    • Responder
    • Citar
    • Comentado:
  • gorlok    

    Tunnel ssh arriba del https. De Ubuntu a Ubuntu, sin restricciones ;-)
    Mi receta aproximada es: http://daniel.haxx.se/docs/sshproxy.html
    Con esto salto 2 (ó 3) malditos proxies en el medio.

    • Responder
    • Citar
    • Comentado:
  • ignacio    

    Totalmente. No hay que hacer nada más que:
    apt-get install corkscrew
    echo \"/usr/bin/corkscrew \\$1 \\$2\" >> ~/proxy
    ssh -F ~/proxy root@soyhacker.com

    Y no te metes en lios de TERMs, ejecuciones locas, etc. Lo mejor? hacer un tunel ssh a un proxy que tenes en un vps de 5 dolares y usar ese como proxy local y mirar porno todo el día en tu laburo:

    ssh -F ~/proxy -Cq -L 8080:localhost:3128 soyhacker@mivpsconsquid.com
    export http_proxy=http://localhost:8080

    Besos.

    walter dijo:

    http://www.agroman.net/corkscrew/

    • Responder
    • Citar
    • Comentado:
  • ignacio    

    el sistema anti inyección de postrev le puso muchas \ a mi post anterior Guiño

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador