RE: Tunnel SSH et redirection générique pour un port...
2 réponses
Mathieu JANIN
Bonjour,
je me permets d'intervenir parcequ'il me parait qu'il y a un =
probl=C3=AAme =C3=A0 la
base:
dis moi si je me trompe, mais tu veux pouvoir par exemple crypter ton
traffic pop avec tes diff=C3=A9rents services de mail ?
Et bien quoi que tu fasse, tant que tu attaqueras un serveur pop3, il y =
aura
toujours une partie non crypt=C3=A9e, =C3=A0 savoir, de SERV_PRIV vers =
tes differents
serveurs pop, la communication se fera en clair.
Par ailleurs, etant donn=C3=A9 que tu n'as pas de masquerading de A =
jusqu'au
serveur pop, les paquets en retour (toujours non crypt=C3=A9s) =
prendront la route
directe vers ta machine A, sans repasser par R ni SERV_PRIV.
Si tu installes un proxy (poproxy, par exemple) sur SERV_PRIV, les =
paquets
reviendront bien jusqu'=C3=A0 ton proxy, mais en non crypt=C3=A9 entre =
le proxy et le
serveur pop.
Enfin ce que j'en dis...
++
> -----Message d'origine-----
> De : David BERCOT [mailto:david.bercot@wanadoo.fr]
> Envoy=C3=A9 : mercredi 27 septembre 2006 10:16
> =C3=80 : Debian [User-French]
> Objet : Re: Tunnel SSH et redirection g=C3=A9n=C3=A9rique pour un =
port...
>=20
>=20
> Bonjour,
>=20
> Le mardi 26 septembre 2006 =C3=A0 21:00 +0200, Paul Filo a =C3=A9crit =
:
> > > En tous cas, sachant que la s=C3=83=C2=A9curit=C3=83=C2=A9 du =
tunnel SSH me=20
> convient, si
> > > j'avais un moyen (proxy ?) de pouvoir y faire transiter=20
> le trafic que je
> > > souhaite (une s=C3=83=C2=A9lection uniquement !), =C3=83=C2=A7a =
me conviendrait
> > > parfaitement...
> > >=20
> > > Merci d'avance pour les indices que vous pourrez me donner ;-)
> >=20
> > Tu as essay=C3=A9 vtun (http://vtun.sourceforge.net/) ? Tu fais un =
tunnel
> > vtun dans ton tunnel ssh et avec les bonnes routes cot=C3=A9=20
> client, tu dois
> > pouvoir t'en tirer (ce que tu veux faire n'est pas tr=C3=A8s =
clair).
>=20
> J'ai trouv=C3=A9 quelques exemples sur vtun, mais toujours avec 3 =
r=C3=A9seaux
> reli=C3=A9s ensemble et j'ai du mal =C3=A0 adapter tout =C3=A7a =
=C3=A0 mes besoins...
>=20
> Je vais donc essayer d'expliquer plus clairement mon probl=C3=A8me...
>=20
> J'ai un ordinateur A, connect=C3=A9 =C3=A0 Internet.
> J'ai un r=C3=A9seau priv=C3=A9 R, dont un serveur SERV_PRIV est =
connect=C3=A9 =C3=A0
> Internet et accessible via SSH.
> J'arrive donc =C3=A0 faire un tunnel SSH entre ma machine A et mon =
serveur
> SERV_PRIV, sauf que, dans la d=C3=A9finition du tunnel, je dois =
pr=C3=A9ciser
> l'adresse Internet =C3=A0 laquelle je veux me connecter via le =
tunnel.
> Exemple :
> ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110
> Ceci me limite donc, pour le port 110 par exemple, =C3=A0 un seul =
serveur
> accessible via le tunnel (ici, pop.wanadoo.fr).
>=20
> Or, mon besoin est le suivant :
> - cr=C3=A9ation d'un tunnel SSH entre A et SERV_PRIV
> - ajout de routes sp=C3=A9ciales sur certains ports pour que les =
requ=C3=AAtes
> correspondantes passent par SERV_PRIV et ensuite par le r=C3=A9seau R
> A titre d'exemple, ainsi, si je fais une requ=C3=AAte sur le port =
110, par
> exemple sur pop.wanadoo.fr, mais aussi sur pop.free.fr, je=20
> souhaiterais
> que ces deux requ=C3=AAtes passent par mon tunnel puis par le =
r=C3=A9seau R.
>=20
> D=C3=A9j=C3=A0, comme lors de la cr=C3=A9ation de mon tunnel, je =
pr=C3=A9cise le serveur
> distant (pop.wanadoo.fr dans l'exemple), j'ai un peu de mal =C3=A0 =
voir
> comment modifier tout =C3=A7a.
>=20
> Avec les r=C3=A9ponses que vous m'avez donn=C3=A9es, j'imagine bien =
une sorte de
> serveur proxy sur mon serveur SERV_PRIV qui redirigerait les =
requ=C3=AAtes
> qui lui arrivent sur les r=C3=A9seau R (comme il le fait actuellement =
vers
> pop.wanadoo.fr). Dans ce cas, j'=C3=A9tablirais, sur mon ordinateur =
A, un
> tunnel avec une syntaxe du genre :
> ssh -N -f SERV_PRIV -L5000:proxy_serv_priv:5000
> Mais alors, que puis-je mettre comme serveur proxy ?
> Et ensuite, comment dire =C3=A0 une requ=C3=AAte de passer par ce =
serveur proxy
> (par exemple, dans Evolution, comment lui dire que mon serveur POP =
est
> pop.wanadoo.fr via proxy_serv_priv ?
>=20
> J'esp=C3=A8re avoir =C3=A9t=C3=A9 un peu plus clair dans mes =
explications...
>=20
> Merci d'avance.
>=20
> David.
>=20
Là , il ne me semble pas que ce soit le cas... Pour l'instant, j'ai jus te ceci : ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110 et ça marche. Si les paquets, au retour, allaient directement du serve ur de Wanadoo à ma machine, ils n'arriveraient pas. Or, là , je les r eçois bien...
--=-T4/aCJjArEPN7WvcUxWj Content-Type: application/pgp-signature; name=signature.asc Content-Description: Ceci est une partie de message =?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
LÃ , il ne me semble pas que ce soit le cas... Pour l'instant, j'ai jus te
ceci :
ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110
et ça marche. Si les paquets, au retour, allaient directement du serve ur
de Wanadoo à ma machine, ils n'arriveraient pas. Or, là , je les r eçois
bien...
--=-T4/aCJjArEPN7WvcUxWj
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Là , il ne me semble pas que ce soit le cas... Pour l'instant, j'ai jus te ceci : ssh -N -f SERV_PRIV -L110:pop.wanadoo.fr:110 et ça marche. Si les paquets, au retour, allaient directement du serve ur de Wanadoo à ma machine, ils n'arriveraient pas. Or, là , je les r eçois bien...
--=-T4/aCJjArEPN7WvcUxWj Content-Type: application/pgp-signature; name=signature.asc Content-Description: Ceci est une partie de message =?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
On Wed, Sep 27, 2006 at 11:05:10AM +0200, David BERCOT wrote:
En fait, d'où je suis, je n'ai pas accès au serveur POP. Mais en utilisant mon tunnel et en passant par SERV_PRIV, là, j'y ai accès ;-)
Tu essaierais pas de traverser un firewall de compagnie trop agressif? C'est mal :p
Sinon, une solution complètement différente serait de récupérer tout tes mails sur SERV_PRIV avec fetchmail, et de tout récupérer facilement de SERV_PRIV ensuite.
C'est peut-être trop simple pour être drôle, cela dit...
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Wed, Sep 27, 2006 at 11:05:10AM +0200, David BERCOT wrote:
En fait, d'où je suis, je n'ai pas accès au serveur POP. Mais en
utilisant mon tunnel et en passant par SERV_PRIV, là, j'y ai accès ;-)
Tu essaierais pas de traverser un firewall de compagnie trop
agressif? C'est mal :p
Sinon, une solution complètement différente serait de
récupérer tout tes mails sur SERV_PRIV avec fetchmail, et de
tout récupérer facilement de SERV_PRIV ensuite.
C'est peut-être trop simple pour être drôle, cela dit...
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Wed, Sep 27, 2006 at 11:05:10AM +0200, David BERCOT wrote:
En fait, d'où je suis, je n'ai pas accès au serveur POP. Mais en utilisant mon tunnel et en passant par SERV_PRIV, là, j'y ai accès ;-)
Tu essaierais pas de traverser un firewall de compagnie trop agressif? C'est mal :p
Sinon, une solution complètement différente serait de récupérer tout tes mails sur SERV_PRIV avec fetchmail, et de tout récupérer facilement de SERV_PRIV ensuite.
C'est peut-être trop simple pour être drôle, cela dit...
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact