Sat Feb 19 00:23:03 2005
CConn: connected to host localhost port 5900
main: End of stream[/cpp]
et sur le serveur :
[cpp][root@perso stockage]# ssh -L 5900:192.168.0.8:5900 root@214.216.47.178 root@213.215.47.178’s password:
Last login: Fri Feb 18 22:50:22 2005 from 81.185.96.42
[root@firewall root]# channel 3: open failed: connect failed: Connection refused
channel 3: open failed: connect failed: Connection refused[/cpp]
PS :
j’arrive bien à me connecter par ssh sur le firewall
et j’arrive bien à me connecter sur toto par vnc en sécurisé en créant une regle sur le firewall pour fowarder le port (DNAT net:80.0.0.5 loc:192.168.0.8 tcp 80)
je pense que tu dois avoir un petit souci de config de firewall…
il faut que tu autorises les communications entre le firewall (uniquement) vers le lan. pas de redirection de ports ou ce genre de chose…
Probleme : tu auras une potentielle faille de securite.
sinon, ta premiere ligne de commande est la bonne.
tu n’as pas besoin d’ouvrir de port 5900 sur le firewall, ni en entree ni en sortie. mais uniquement sur toto (normal)
trop trop fort KP2.
J’aurais pu en effet un peu savoir decrypter le message d’erreur.
Cela fonctionne …
J’ai rajouté la règle :
ACCEPT $FW loc:192.168.0.8 tcp 5900
Et le DNAT est désactivé, ce qui démontre bien que c’est bien encapsulé. #DNAT net:80.0.0.5 loc:192.168.0.8 tcp 5900
tu voulais dire que ce n’est pas la peine d’ouvrir sur tout la zone LAN (loc). Il y a juste besoin de spécifier l’ip de la machine. Non ?
Comment ca une potentielle faille de sécurité ?
On ouvre le port qu’au niveau du firewall et non pas directement sur le net, ce qui veut dire que du net c’est quand meme bloqué, non ?
bahh si cela sert à quelques chose. C’est uniquement dans la zone net que c’est peu sur. Dans la zone loc, le LAN c’est beaucoup moins utile. On bloque le port 5900 de l’exterieure, il n’est visible qu’à partir du firewall. Je pense que c’est le princpal…
De plus ta solution de tunneliser meme apres le firewall, m’oblige à installer un deamon sshd sur windows
ben la potentielle faille est que si un type reussi a avoir un compte sur ton firewall, il aura acces aux machines du lan en vnc.
et d’une maniere generale, tu ouvres un acces en entree de puis le net vers le lan donc il y a un risque.
Mais c’est un risque a relativiser et “a calculer”.
Tout depend de tes besoins.
Si pour toi, c’est necessaire alors fais le.
Les mecs qui dise qu’il faut tout fermer sont un peu cons car si tu fermes tout , tu ne peux plus rien faire.
Donc soit conscient qu’il y a un risque potentiel et surveille, voila tout
il n’ouvre pas de port sur le firewall mais il autorise les connections du firewall vers toto:5900, c’est qui est normal.
le principe du tunneling ssh est que tu ouvres une connection ssh vers un “relai” en specifiant le destinataire de ce qui va passer dans le tuyau (je ne t’apprends rien)
Donc ssh comme un grand va ecouter le port que tu veux tunneler sur ta machine locale, le crypter, l’envoyer au relai qui va le decrypter et l’envoyer tel que au destinataire:port.
Si tu as un probleme a l’avenir, il suffit de reproduire ce mecanisme a la main etape par etape : te connecter betement en ssh sur le relai. depuis le relai, pinger la machine de destination et tenter de te connecter au port vise en telnet.
Suivant l’etape qui foire, tu pourras facilement determiner ou est le probleme.