Forum Clubic

Vnc over ssh, client linux -> serveur windows

voici le plan de mon reseau :

J’aimerais pouvoir me connecter de ma machine perso à titi par vnc et tunélisé vnc sur internet.

titi est un ordinateur sous linux qui fait office de firewal avec skarewall avec 3 zones : le net, LAN et la DMZ

Donc ce que je pensais sur ma machine perso, c’est faire :

ssh -L 5900:192.168.0.8:5900 root@214.216.47.178

et apres lancer :
vncviewer localhost:0

Mais cela m’affiche sur le client :

[cpp][weed@perso firefox]$ vncviewer localhost:0

VNC viewer for X version 4.0 - built Feb 1 2005 09:41:56
Copyright © 2002-2004 RealVNC Ltd.
See http://www.realvnc.com for information on VNC.

Sat Feb 19 00:23:03 2005
CConn: connected to host localhost port 5900
main: End of stream[/cpp]

et sur le serveur :

[cpp][root@perso stockage]# ssh -L 5900:192.168.0.8:5900 root@214.216.47.178
root@213.215.47.178’s password:
Last login: Fri Feb 18 22:50:22 2005 from 81.185.96.42
[root@firewall root]# channel 3: open failed: connect failed: Connection refused
channel 3: open failed: connect failed: Connection refused[/cpp]

PS :
j’arrive bien à me connecter par ssh sur le firewall

et j’arrive bien à me connecter sur toto par vnc en sécurisé en créant une regle sur le firewall pour fowarder le port (DNAT net:80.0.0.5 loc:192.168.0.8 tcp 80)

Les exemples ne manquent pas pourtant. Qu’est ce que j’ai loupé ?
http://www.int-evry.fr/mci/user/doutrele/ssf/ssf.html#htoc20

un petit up

enleve ton schema et vire les vraies ip …
si un scriptkid a envie de se faire la main facilement, il va foncer sur ton reseau…

il pourra le faire t’inquiete.
Ce sont des fausses ip. Je prefere mettre des ip comme ca, c’est plus facile d’expliquer.

Mais ne t’inquiete pas KP2

je tenais a rajouté que j’ai rajouté la ligne
AllowTcpForwarding yes
dans le fichier de conf de sshd de titi (sshd_config)

t’as pas loupe grand chose…

je pense que tu dois avoir un petit souci de config de firewall…
il faut que tu autorises les communications entre le firewall (uniquement) vers le lan. pas de redirection de ports ou ce genre de chose…
Probleme : tu auras une potentielle faille de securite.

sinon, ta premiere ligne de commande est la bonne.
tu n’as pas besoin d’ouvrir de port 5900 sur le firewall, ni en entree ni en sortie. mais uniquement sur toto (normal)

trop trop fort KP2.
J’aurais pu en effet un peu savoir decrypter le message d’erreur.
Cela fonctionne …

J’ai rajouté la règle :
ACCEPT $FW loc:192.168.0.8 tcp 5900
Et le DNAT est désactivé, ce qui démontre bien que c’est bien encapsulé.
#DNAT net:80.0.0.5 loc:192.168.0.8 tcp 5900

tu voulais dire que ce n’est pas la peine d’ouvrir sur tout la zone LAN (loc). Il y a juste besoin de spécifier l’ip de la machine. Non ?

Comment ca une potentielle faille de sécurité ?
On ouvre le port qu’au niveau du firewall et non pas directement sur le net, ce qui veut dire que du net c’est quand meme bloqué, non ?

Inutile d’ouvrir le port 5900 sur le firewall.
Tout le traffic passe par SSH (tunnel) donc il suffit d’ouvrir le port 22, sinon ça sert à rien.

bahh si cela sert à quelques chose. C’est uniquement dans la zone net que c’est peu sur. Dans la zone loc, le LAN c’est beaucoup moins utile. On bloque le port 5900 de l’exterieure, il n’est visible qu’à partir du firewall. Je pense que c’est le princpal…

De plus ta solution de tunneliser meme apres le firewall, m’oblige à installer un deamon sshd sur windows

On peut faire aussi de reverse-tunneling (ssh -R)

ben la potentielle faille est que si un type reussi a avoir un compte sur ton firewall, il aura acces aux machines du lan en vnc.
et d’une maniere generale, tu ouvres un acces en entree de puis le net vers le lan donc il y a un risque.
Mais c’est un risque a relativiser et “a calculer”.
Tout depend de tes besoins.
Si pour toi, c’est necessaire alors fais le.
Les mecs qui dise qu’il faut tout fermer sont un peu cons car si tu fermes tout , tu ne peux plus rien faire.

Donc soit conscient qu’il y a un risque potentiel et surveille, voila tout

il n’ouvre pas de port sur le firewall mais il autorise les connections du firewall vers toto:5900, c’est qui est normal.

le principe du tunneling ssh est que tu ouvres une connection ssh vers un “relai” en specifiant le destinataire de ce qui va passer dans le tuyau (je ne t’apprends rien)
Donc ssh comme un grand va ecouter le port que tu veux tunneler sur ta machine locale, le crypter, l’envoyer au relai qui va le decrypter et l’envoyer tel que au destinataire:port.

Si tu as un probleme a l’avenir, il suffit de reproduire ce mecanisme a la main etape par etape : te connecter betement en ssh sur le relai. depuis le relai, pinger la machine de destination et tenter de te connecter au port vise en telnet.
Suivant l’etape qui foire, tu pourras facilement determiner ou est le probleme.