No necesitás avisar de que es un nerd post 
Con el título ya sale a flor de piel 
Usando SSH desde una red cerrada
NERD POST ALERT
No todos los ámbitos laborales tienen proxys tan sensibles. La mayoría suele ser "Tenés todo libre", "Tenés todo libre y te bloqueo el P2P" o "Te bloqueo todo y divertite con la web de la intranet de la empresa, hecha con Front Page por el sobrino de la hermana de mi cuñado".
En cambio, otros tenemos la condenada suerte de tener un proxy bien armado que filtra muchas cosas. Entre ellas todo lo referido a SSH: puerto (22) o por filtrado de paquetes.
Esto provoca que por más que cambiemos el puerto (si tenemos la suerte de acertar alguno al azar que este abierto), el proxy lo va a rechazar porque la peticion es SSH.
Yo necesitaba conectarme a la Raspberry de casa para poder divertirme desde el trabajo en los tiempos libres y adelantar algún que otro proyecto hogareño.
La solución?
1) Rápida y menos segura: usar algún servicio SSH web based, súper inseguro que vaya a saber uno por donde pasan nuestros datos.
2) Rápida, mas segura y mas divertida: Montar mi propio servidor SSH Web Based.
A continuación la respuesta...
Para comenzar con la segunda opción necesitamos algunas cosas basicas:
Primordial: tener un servicio tipo no-ip para evitar problemas con las ip dinámicas de nuestras casas y tener fowardeado el puerto 22 al dispositivo que nos querramos conectar por SSH.
Un lugar donde poder alojar el servicio que vamos a instalar. En mi caso lo hice en un VPS con Ubuntu 12.04 LTS. También se podría hacer con alguna pc/raspberry que tengan en sus casas y evitar el costo del VPS, pero ya que contaba con mi servidor virtual, fui a lo seguro.
Si hacen como yo y optan por el VPS, lo que van a hacer es un pequeño "Inception" de SSH, ya que se conectarían via web a la consola SSH del VPS y una vez dentro de ella, otro SSH a nuestro "Destino final" (y les metí dos películas en una sola línea. Imposible nerdearla mas)
Basta de chachara, vamos a meter dedo.
Como siempre para estas cosas es ideal tener nuestros repositorios actualizados
$ sudo apt-get update
Una vez actualizados los repos, instalamos
$ sudo apt-get install openssl shellinabox
Parece que por algún motivo que no me moleste a investigar por ahora, esto bajo Ubuntu 12.04 no se instala de la manera tradicional, por lo que es necesario bajar el .deb desde los repositorios de Ubuntu
(en mi caso particular no instale el openssl y todo funcionó igual)
$ wget http://archive.ubuntu.com/ubuntu/pool/universe/s/shellinabox/shellinabox_2.14-1_i386.deb
(Si necesitan el paquete de 64 bits el nombre es: shellinabox_2.14-1_amd64.deb)
Después instalamos
sudo dpkg -i shellinabox_2.14-1_i386.deb
Una vez concluída la instalación, solo nos queda configurar que tipo de puerto vamos a usar para conectarnos.
Podemos tranquilamente utilizar el puerto 443 en vez del 80, y seguimos manteniendo el standard de seguridad, usando https (como es mi caso)
Detenemos el servicio
$ sudo service shellinabox stop
Y modificamos los parametros de configuración
$ sudo nano /etc/default/shellinabox
Y modificamos las lineas
# TCP port that shellinboxd's webserver listens on
SHELLINABOX_PORT=443
# specify the IP address of a destination SSH server
SHELLINABOX_ARGS="--no-beep -s /:SSH:TU.NUMERO.DE.IP.O.DNS"
Luego de esto, reiniciamos el servicio
$ sudo service shellinabox start
Podemos verificar su funcionamiento
$ sudo netstat -nap | grep shellinabox
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 12274/shellinaboxd
Ya en el navegador podemos probarlo entrando a http://TU.IP.O.DOMINIO:443 con tus credenciales necesarias y listo.
Ya pueden usar todo los servicios de SSH de manera web, a traves de puerto 443 y salteando ese condenado proxy.
Diviértanse.
Fuente TecMint
Nota del Editor: Gracias a Emiliano por la nota, es obvio que no es el único método obviamente, se usa mucho el Tuneling, así que en los comentarios pueden dejar el propio! y si quieren enviarlo en forma de nota como él, bienvenido sea en estas páginas, acepto posts de afuera 
Si te gustó esta nota podés...
Escrito por Emiliano
Otros posts que podrían llegar a gustarte...
Comentarios
-
electropalar
05/11/2013 - 20:31:07
Yo estoy en el trabajo detras de un servidor ISA que no me deja usar nada de streamin ni entrar a algunas paginas (como esta por ejemplo
).
Instale el Openwrt en el router de casa, redireccionando el puerto 443 (que el isa no bloqueaba) al server ssh que incluye el firmware del router en el puerto 22.
Despues con en Putty intente conectarme pero el servidor me bloqueaba el tipo de paquete por problemas de autentificacion.
Asi que termine usando el Ntlmaps para que se logueara en el proxy del laburo y se conectara al router de mi casa (ip fija de fibertel) dejandome un nuevo proxy en el localhost puerto 8181, de ahi con el putty conexiono a localhost:8181 y tuneleado de puertos, luego cambio de proxy en el firefox y listo!
Parece un quilombo pero una vez configurado es hacer dos clicks y queda abierta la conexion.
Despues queria controlar la pc server/descargas de casa asi que lo unico que tube que hacer es un mapeo de puertos del puerto 5800 del router al 5800 de la pc en cuestion y ya la controlaba con vnc (previo tuneleado con el Putty).
-
electropalar
Despues de leer lo que esribi me di cuenta que esta mal escrito streaming y esta muy mal redactado. Nunca mas me pongo a comentar algo tecnico mientras "hago mis necesidades".
-
Te faltó el disclaimer diciendo que si rajan a alguno del laburo por sospecha de terrorismo internacional indetectable por CSI no es reponsabilidad del autor.
-
Sebastian
05/11/2013 - 22:06:39
Muy interesante Fabio, a favoritos
una vez recuerdo haber podido conectarme desde el laburo que tenian un monton de firewalls
(lo unico que podia ver era la intranet una mierd.. por cierto) a mi casa atravez de NX usando tunelling y cosas asi y manejar mi pc, me senti como un hacker ese dia jaja
Lo que comento electropalar es muy util casi obligatorio de hacer en lugares donde te bloquean el internet y es necesario surfear por la web y cagar a los garcas que te quieren negrear.
Saludos
-
Yo uso 2 métodos muy simples, luego de configurar Apache con PHP , SSL y dns dinámico:
1) Php file manager, es phpfm, permite operaciones sobre archivo y tiene un botón de shell
2) Php proxy, es phproxy
si se dan maña hasta en winchot lo pueden hacer
googleen
-
electropalar dijo:
Despues de leer lo que esribi me di cuenta que esta mal escrito streaming y esta muy mal redactado. Nunca mas me pongo a comentar algo tecnico mientras "hago mis necesidades".
no hay como redactar cagando, priceless
-
Oscar
06/11/2013 - 00:21:24
Hello Admin.
Your tours from xvideos to honchobears.net has been recorded.
Sudo, enable tunneling or else...
Regards.
-
Dave
06/11/2013 - 10:02:38
En mi caso, soy yo quien no te deja navegar o bloquea aquellas paginas que \\\"dicen\\\" ser de ocio; excepto FABIO
.
Firewalls, web filters, politicas de seguridad, permisos, etc. etc., algo siempre se escapaba.
La mejor solución fue: CONEXION Fibertel 6Mb Wi-Fi para todos y que ahí hagan lo que se les antoja, con cierta \\\"carpa\\\", con sus Mobiles, notebooks y demás cosas personales.
Equipos dentro del dominio solo dentro de la red coorporativa.
Slds.-
-
Dave dijo:
En mi caso, soy yo quien no te deja navegar o bloquea aquellas paginas que \\\"dicen\\\" ser de ocio; excepto FABIO
.
Firewalls, web filters, politicas de seguridad, permisos, etc. etc., algo siempre se escapaba.
La mejor solución fue: CONEXION Fibertel 6Mb Wi-Fi para todos y que ahí hagan lo que se les antoja, con cierta \\\"carpa\\\", con sus Mobiles, notebooks y demás cosas personales.
Equipos dentro del dominio solo dentro de la red coorporativa.
Slds.-
un sysadmiiiiin coorrraaan peligro! jajaja
es importante que no le pongas el flag "ocio" a este blog tan servicial
-
Hace seis meses que laburo de sysadmin y no me gusta ser el "botón" ni el "bloqueador".
Por suerte el bloqueo acá se reduce a Facebook y "afines" para que no se pongan a boludear y jueguitos de navegador enviciantes. Pero no se les impide conectarse a sus casas o sshs o lo que quieran. También se les da una play, onda: "si vas a jugar, que sea un PES".
En las estadísticas Fabio gana todos los jueves y todos los viernes, cuando digo gana es que es el top #1 de visitado/cacheado durante esos días, más que el CVS.
Yo lo leo todos los días, pero hay un "público pop" que entra solo jueves y viernes.
Mi peor momento de botón fue cuando me tocó decir quien se comía el ancho de banda mirando ESPN en HD.
-
Pablo L
06/11/2013 - 16:59:33
Gente, disculpen, pero este post y comentarios deben ser borrados ya que es sumamente "self defeating" por servir mas que nada para avivar a los responsables de mantener esos p*t*s proxies/firewalls.
Habiendo dicho eso... les cuento que nunca nada me funcionó tan bien como openvpn por túnel https, es la libertad TOTAL... es conectar tu PC de escritorio de la oficina a la red de tu casa como si te conectaras directamente a la wifi o ethernet... todo funciona: ping, ssh, irc, http (sin filtros), tu p2p favorito, etc, etc, etc.
-
buenas, buen post, hace tiempo estuve por armar algo del estilo ya que en el laburo solo me dejan salir al puerto 80, pero zafé utilizando el putty, yendo contra el puerto 80 de mi router y obviamente especificando que el protocolo es ssh. En el router de mi casa redireccione del 80 al 22 y listo, el proxy del laburo comió de la mano
-
Dave
Dave dijo:
Al menos tenes una clasificación CIERTA!!!!
http://www.subeimagenes.com/img/fabio-772160.html
-
Gran sufrimiento que hemos sufrido (a redundar
), benditos fireguales pedorros que nos ponen para limitar la porneta.
Fuera de eso, me hiciste acordar a aquella época en la que Fiber limitaba el P2P (y el Warcraft 3!!!!), y todos decían "Nos limitan el download".
No. Era el upload. 1kb/s
Y vos Fabio? SSH desde workstations Windows alguna vez?
-
DrMato dijo:
¿nano????? arggghhhhhhhhhh
Si, dale. Sinceremonos de una vez. VI es inusable. Poco amigable y los comandos son imposibles!! =P
Dave dijo:
En mi caso, soy yo quien no te deja navegar o bloquea aquellas paginas que \\\"dicen\\\" ser de ocio; excepto FABIO
.
Firewalls, web filters, politicas de seguridad, permisos, etc. etc., algo siempre se escapaba.
La mejor solución fue: CONEXION Fibertel 6Mb Wi-Fi para todos y que ahí hagan lo que se les antoja, con cierta \\\"carpa\\\", con sus Mobiles, notebooks y demás cosas personales.
Equipos dentro del dominio solo dentro de la red coorporativa.
Slds.-
Creo que aca hacen algo similar, aunque con mas ancho de banda. Me parece una buena solucion, porque boludear con el celular se aseguran que no te la pases 8 hs pegados al boludeo (en la mayoria de los casos)
-
Algo que nunca voy a comprender es el blokeo sistematico de paginas o protocolos para evitar el "boludeo" en el trabajo.
Es facil, te dan laburo, una fecha de entrega y listo, si lo terminas a tiempo, hace lo que se te cante el culo, queres estar todo el dia en facebook y terminarlo en 5 minutos? Dale! Mientras entregues y rindas no importa que hagas.(obvio que por cuestiones de seguridad algunas cosas deben ser filtradas, ejorn, et all)
Aca solo filtro cosas jodidas, tenemos wifi libre de 50 mbps para inet y una red con 1gbps en fibra para el resto. No veo la hora de que los dinosaurios mueran y el ambiente laboral cambie para mejor en general.
-
Macau dijo:
Algo que nunca voy a comprender es el blokeo sistematico de paginas o protocolos para evitar el "boludeo" en el trabajo.
Es facil, te dan laburo, una fecha de entrega y listo, si lo terminas a tiempo, hace lo que se te cante el culo, queres estar todo el dia en facebook y terminarlo en 5 minutos? Dale! Mientras entregues y rindas no importa que hagas.(obvio que por cuestiones de seguridad algunas cosas deben ser filtradas, ejorn, et all)
Aca solo filtro cosas jodidas, tenemos wifi libre de 50 mbps para inet y una red con 1gbps en fibra para el resto. No veo la hora de que los dinosaurios mueran y el ambiente laboral cambie para mejor en general.
es que un despido es más caro que un firewall
-
Sebas
07/11/2013 - 15:09:21
¡Vamooooo! Me vino al pelo esta solución porque en mi facultad los HDP bloquean SSH (me parece que con pfsense) y no puedo conectarme al router de mi casa
¡en la clase de Redes!
Lucharé nuevamente
-
Tunnel ssh arriba del https. De Ubuntu a Ubuntu, sin restricciones ;-)
Mi receta aproximada es: http://daniel.haxx.se/docs/sshproxy.html
Con esto salto 2 (ó 3) malditos proxies en el medio.
-
ignacio
11/11/2013 - 10:29:03
Totalmente. No hay que hacer nada más que:
apt-get install corkscrew
echo \"/usr/bin/corkscrew \\$1 \\$2\" >> ~/proxy
ssh -F ~/proxy [email protected]
Y no te metes en lios de TERMs, ejecuciones locas, etc. Lo mejor? hacer un tunel ssh a un proxy que tenes en un vps de 5 dolares y usar ese como proxy local y mirar porno todo el día en tu laburo:
ssh -F ~/proxy -Cq -L 8080:localhost:3128 [email protected]
export http_proxy=http://localhost:8080
Besos.
walter dijo:
http://www.agroman.net/corkscrew/
-
ignacio
el sistema anti inyección de postrev le puso muchas \ a mi post anterior