Re: ssh DA una porta specifica
On Tue, 7 Feb 2017, Christian Surchi wrote: Il giorno mar, 07/02/2017 alle 13.04 +0100, Piviul ha scritto: Christian Surchi ha scritto il 07/02/2017 alle 12:19: [...] Infatti, pensavo proprio a quella. Mandando un messaggio al server ogni n secondi ho risolto, in passato, diversi problemi legati a fw "astiosi". :) ma non equivale ad impostare il parametro ServerAliveInterval? Sì, intendevo quello. e infatti ha funzionato -- Leonardo Boselli Dipartimento Ingegneria Civile e Ambientale UNIFI tel +39 0552758808 +39 3488605348
Re: ssh DA una porta specifica
Il giorno mar, 07/02/2017 alle 13.04 +0100, Piviul ha scritto: > Christian Surchi ha scritto il 07/02/2017 alle 12:19: > > [...] > > Infatti, pensavo proprio a quella. Mandando un messaggio al server ogni > > n secondi ho risolto, in passato, diversi problemi legati a fw > > "astiosi". :) > ma non equivale ad impostare il parametro ServerAliveInterval? Sì, intendevo quello.
Re: ssh DA una porta specifica
Christian Surchi ha scritto il 07/02/2017 alle 12:19: [...] Infatti, pensavo proprio a quella. Mandando un messaggio al server ogni n secondi ho risolto, in passato, diversi problemi legati a fw "astiosi". :) ma non equivale ad impostare il parametro ServerAliveInterval? Piviul
Re: ssh DA una porta specifica
Il giorno mar, 07/02/2017 alle 11.46 +0100, Mattia ha scritto: > Il 7 febbraio 2017 11:11, Leonardo Boselli ha scritto: > > quello che voglio è di scegliere la porta locale, questo perché il firewall > > stateful che mi trovo in mezzo mantiene gli stati per non più di 3 minuti, e > > se hai un servizio in cui la risposta potrebbe arrivare anche dopo ore hai > > perso la connessione. > > Potrei aver capito male, ma se ho capito bene, è sufficiente abilitare i > keep-alive su ssh in modo da tenere viva la connessione. A questo proposito > guarda l'opzione ServerAliveInterval di ssh. Infatti, pensavo proprio a quella. Mandando un messaggio al server ogni n secondi ho risolto, in passato, diversi problemi legati a fw "astiosi". :) ciao Christian
Re: ssh DA una porta specifica
Il 7 febbraio 2017 11:17, Christian Surchi ha scritto: > Il giorno mar, 07/02/2017 alle 08.58 +0100, Leonardo Boselli ha scritto: >> se esiste il parametro -p per collegarsi A una porta sulla macchina >> remota, come è possibile usare ssh in modo da specificare la porta locale >> dalla quale parte la connessione ? > > Non si può. Perché farlo, poi? Che non si possa fare non è completamente vero. Perché farlo è un'ottima domanda. Spiego meglio: Che io sappia, e come ha evidenziato Christian, il client ssh non permette di scegliere la porta sorgente; è tuttavia possibile fare una regola di masquerading che modifichi la porta sorgente del pacchetto prima che questo esca dall'interfaccia. Parliamo quindi di tabella nat e chain POSTROUTING. Un esempio potrebbe essere questo: ~$ iptables -t nat -A POSTROUTING -p tcp --dport 22 -o eth0 -j MASQUERADE --to-ports 11221 A tutti i pacchetti TCP destinati alla porta 22 (qualunque server di destinazione) e in uscita sull'interfaccia eth0, la porta sorgente viene modificata in 11221 quindi il server al quale ci si connette "vede" la connessione provenire da quella porta. È la prima soluzione che mi viene in mente, ce ne saranno sicuramente altre. Veniamo ora al perché farlo. Il 7 febbraio 2017 11:11, Leonardo Boselli ha scritto: > quello che voglio è di scegliere la porta locale, questo perché il firewall > stateful che mi trovo in mezzo mantiene gli stati per non più di 3 minuti, e > se hai un servizio in cui la risposta potrebbe arrivare anche dopo ore hai > perso la connessione. Potrei aver capito male, ma se ho capito bene, è sufficiente abilitare i keep-alive su ssh in modo da tenere viva la connessione. A questo proposito guarda l'opzione ServerAliveInterval di ssh. Ciao Mattia
Re: ssh DA una porta specifica
Da: Leonardo Boselli A: Piviul Cc: debian-italian@lists.debian.org Inviato: Martedì 7 Febbraio 2017 11:11 Oggetto: Re: ssh DA una porta specifica Spiego meglio: quando mi connetto esco da una porta locale vedi: leo@cat:~$ netstat | head Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 cat:36098 server_remoto:sshESTABLISHED quello che voglio è di scegliere la porta locale, questo perché il firewall stateful che mi trovo in mezzo mantiene gli stati per non più di 3 minuti, e se hai un servizio in cui la risposta potrebbe arrivare anche dopo ore hai perso la connessione. se io sul fw creo un server virtuale che mi consente di inoltrare una certa porta in ingresso al fw a una certa porta in ingresso a una macchina locale ho risolto. Non ditemi di fare un DMZ che quel FW (che controllo solo in parte) consente di aprire un massimo di 200 porte (ma non di creare una DMZ) e neppure prima di guardare su che porta sei uscito e quindi di aprirla visto che se trova una porta in uso non ti consente di cambiargli la configurazione. Potresti farlo forse con iptables, fai un source NAT sulla porta e butti il traffico verso l'host da raggiungere. Il client ssh lo punti su localhost
Re: ssh DA una porta specifica
Il giorno mar, 07/02/2017 alle 08.58 +0100, Leonardo Boselli ha scritto: > se esiste il parametro -p per collegarsi A una porta sulla macchina > remota, come è possibile usare ssh in modo da specificare la porta locale > dalla quale parte la connessione ? Non si può. Perché farlo, poi? http://stackoverflow.com/questions/25481400/ssh-session-fixed-port-on-the-client-side ciao Christian
Re: ssh DA una porta specifica
Spiego meglio: quando mi connetto esco da una porta locale vedi: leo@cat:~$ netstat | head Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 cat:36098 server_remoto:sshESTABLISHED quello che voglio è di scegliere la porta locale, questo perché il firewall stateful che mi trovo in mezzo mantiene gli stati per non più di 3 minuti, e se hai un servizio in cui la risposta potrebbe arrivare anche dopo ore hai perso la connessione. se io sul fw creo un server virtuale che mi consente di inoltrare una certa porta in ingresso al fw a una certa porta in ingresso a una macchina locale ho risolto. Non ditemi di fare un DMZ che quel FW (che controllo solo in parte) consente di aprire un massimo di 200 porte (ma non di creare una DMZ) e neppure prima di guardare su che porta sei uscito e quindi di aprirla visto che se trova una porta in uso non ti consente di cambiargli la configurazione. On Tue, 7 Feb 2017, Piviul wrote: Leonardo Boselli ha scritto il 07/02/2017 alle 08:58: se esiste il parametro -p per collegarsi A una porta sulla macchina remota, come è possibile usare ssh in modo da specificare la porta locale dalla quale parte la connessione ? AFAIK quando ti connetti ad un server ssh non provieni da una porta: ti connetti alla porta del servizio e basta... a meno che non fai un tunnel allora hai la possibilità di specificare la porta locale e remota. Ma cosa vuoi fare? Piviul -- Leonardo Boselli Dipartimento Ingegneria Civile e Ambientale UNIFI tel +39 0552758808 +39 3488605348
Re: ssh DA una porta specifica
Leonardo Boselli ha scritto il 07/02/2017 alle 08:58: se esiste il parametro -p per collegarsi A una porta sulla macchina remota, come è possibile usare ssh in modo da specificare la porta locale dalla quale parte la connessione ? AFAIK quando ti connetti ad un server ssh non provieni da una porta: ti connetti alla porta del servizio e basta... a meno che non fai un tunnel allora hai la possibilità di specificare la porta locale e remota. Ma cosa vuoi fare? Piviul