j’ai posté dans le forum réseau mais aucune réponse.
Comme il est fort probable qu’il y ait autant de personnes utilisant ssh ici, je me permets de poster à nouveau.
j’ai besoin de précision(s) sur les tunnels ssh.
J’ai une machine (que nous nommerons PC1), connectée directement sur l’Internet avec un serveur VNC (port 5900).
Ailleurs, j’ai un serveur SSH (port 22) derrière un NAT (que nous nommerons SRV1).
J’ai enfin des clients dans un LAN d’entreprise (que nous nommerons CLT1).
Sur CLT1, je “forward” le port 5900 en localhost sur 6900 (ssh -L6900:user@SRV1:5900)
Je lance ensuite le vncviewer de CLT1 (vncviewer localhost:6900).
Si j’ai correctement tout compris, la connexion est sécurisée entre CLT1 et SRV1 par ssh.
Puis de SRV1, ça part sur le web vers PC1.
Aussi, j’en déduis que la connexion entre SRV1 et PC1 n’est PAS sécurisée par ssh.
Ai-je raison ?
Merci à vous pour d’éventuels pistes / renseignements / insultes / encouragements (rayer la mention inutile) …
edit: j’ai essayé de corriger le bug d’affichage, mais ce n’est pas gagné…
Edité le 19/11/2007 à 11:13
si j’ai bien compris, tu cherches a te connecter a ta machine liee directement directement au net (PC1) depuis la machine CLT1 qui se trouve derriere SRV1, c’est ca ?
tu montes ensuite un tunnel entre CLT1 et SRV1 qui sont sur le meme lan et tu fais passer du vnc dans ce tunnel jusqu’a PC1 ?
Effectivement, ca sert a rien
[strike]D’autant plus que tu t’y prends pas super bien avec ssh (je crois meme que tu ne montes meme pas de tunnel entre CLT1 et SVR1 car tu fais une redir de port locale si j’ai bien suivi :paf: )
la meilleure commande dans ton cas est :
$ ssh -L5900:PC1:5900 user@SVR1
Puis tu lances ton vncviewer :
$ vncviewer localhost[/strike]
[edit]je viens de voir que c’est un bug du forum qui nique ton message… il m’est arrive la meme chose :ane:[/edit]
Edité le 16/11/2007 à 19:50
En fait pour éclaircir, le PC final, qui supporte le serveur VNC (port 5900) ne possède pas de serveur SSH (et aucune possibilité de le mettre).
Il est effectivement directement sur Internet (protégé par un pare-feu tout de même).
Ensuite, il y a le serveur SSH qui est derrière un NAT mais l’on peut considérer qu’il est connecté directement à l’Internet par un transfert de port (le 22 par exemple )
Puis, il y a la machine de travail.
La machine de travail ne PEUT PAS se connecter directement sur la machine finale sur le port 5900 (restrictions labo obligent).
La machine de travail peut se connecter au serveur SSH.
La connexion est donc sécurisée entre le labo (machine de travail) et le serveur SSH.
Ma question est de savoir si avec le tunnel créé, la connexion entre le serveur SSH et VNC EST sécurisée.
Comme l’a écrit KP2, je ne pense pas.
Et je ne pense pas qu’il soit possible de sécuriser la connexion entre le serveur SSH et VNC car la machine hébergeant le serveur VNC ne peut pas accueillir SSH.
Peut-être y a t-il moyen de jouer avec l’option “-R” du client SSH, mais je ne vois pas trop comment faire.
)