Mise en place d'un tunnel ssh

[Neytiri]

Donc comme promis pour Kallye, voilà comment j'ai procédé pour mettre en place mon tunnel ssh.

1/ Avoir un serveur ssh à disposition

J'ai pendant un temps utilisé ma machine perso à la maison comme serveur ssh et je me suis appuyé sur ce tuto. Actuellement, je profite d'un serveur hébergé par Gandi comme serveur ssh.

2/ Avoir un client ssh

Perso j'utilise PuTTY.
Au niveau de sa configuration, il faut définir l'adresse ip et le port du serveur ssh, bien évidement, et son login par défaut si on le souhaite. A la connexion au serveur, on saisi son mot de passe ou son passphrase si l'on s'appuye sur un bi-clé RSA (je préfère ça perso).

L'important est ensuite d'aller dans la catégorie "Connexions/SSH/Tunnels". Il faut définir un nouveau port dynamique : on met un numéro de port (au delà des ports réservés, cad au delà de 1024), par exemple 1222, on coche la case "Dynamic" et on fait "Add".

3/ Avoir un outil capable de capturer le flux d'une application et de le transférer sur un port donné.

Pour cela, j'utilise l'outil Proxifier. Malheureusement, cet outil est payant. Avant j'utilisais un autre outil que l'on pouvait obtenir gratuitement mais dont je ne me rappelle plus le nom (je vais me débrouiller pour récupérer le nom de cet outil au plus vite). Seulement, il posait des problèmes sous windows 7 avec Eclipse. J'ai donc changé.

L'idée avec cet outil est de définir la ou les applications que l'on souhaite capturer et de configurer le port vers lequel on veut que le flux de cette ou ces applications soit envoyé. Dans notre exemple, on fait en sorte que notre outil capture le flux de wow, wowlauncher voir wowdownloader (parfois, lors de patchs, il y a des comportements un peu particulier, il faut ajouter le patch exe récupéré...) et on configure pour que le flux soit envoyé sur le port 1222.


Dans les faits, on lance wow, le flux est capturé par proxifier (ou autre), il est envoyé sur le port 1222. Notre client ssh lancé et connecté au seveur ssh récupère tout le flux du port 1222 et l'envoie au serveur. Notre serveur ssh envoie le flux aux serveurs blibli. Il y a une encapsulation du flux wow par le protocole ssh.

Donc, à partir du moment où vous êtes quelque part ou le port 22 est autorisé en sortie, vous pouvez faire passer toutes les applications souhaitées (TCP, j'ai testé TS qui fonctionne en UDP et je me suis cassé les dents).


Pour toute info complémentaire, n'hésitez pas. Je vais essayer de trouver le nom de l'outil gratuit et si besoin, je pourrais aider à la configuration

++

Neyti

[Naro]

Putty ça rox, c'est hyper simple d'utilisation ^^

Je l'utilisais pour me connecter en sshde chez moi au serv de mon école à l'époque ^^

[Neytiri]

Avant j'utilisais Freecap puis Widecap. Retrouvé via ce lien sur wikipédia qui donne une liste d'outils de ce genre => http://fr.wikipedia.org/wiki/SOCKS#clients_SOCKS

[Archeon]

Dites, pourquoi vous vous embêtez a faire passer votre connexion dans un tunnel ssh ? Pour faire du torrent et pas vous faire choper ?

[Neytiri]

Quand tu es quelque part où tu ne gères pas le réseau, beaucoup de ports peuvent être interdits. Par exemple, ceux utilisés pour wow. Du coup, si le port permettant de faire du ssh est ouvert, tu peux jouer à wow via cette méthode.

[Kallye]

En fait j'ai demandé ça à Neytiri pour ma culture perso, une fois j'étais bien bloqué au taff pour pouvoir accéder à un service distant d'un de nos prestas depuis un serveur de test/staging à l'intérieur de notre réseau interne (qui bloquait certains paquets).
Et si j'avais eu cette solution j'aurai été content plutôt que de dire au client que c'est normal que ça ne marche pas et de prier pour que ça fonctionne sur le serveur de productions en dehors de notre réseau :p

Il ne faut pas se leurrer, pour ceux qui croient que ça restera discret, vos admins viendront vous voir pour savoir ce qu'est ce débit de données inhabituel (1Go qui passe sur un port autorisé ça reste 1Go).
Et chez nous on peut jouer à Wow en pause

Merci beaucoup Neyti

[Anae]

(des fois quand je parcoure certains sujets... Je ne comprends absolument rien ..... )

[Archeon]

Hahah Perso moi j'ai un bon firewall qui fait du deep packet inspection, peu importe comment tu vas passer ta trame de wow, encrypté SSH ou pas, tu pourras pas sortir

et oui je suis impitoyable avec mes end users;p

[Neytiri]

Peux-tu m'expliquer en bref Archeon ? Car je vois pas comment tu peux connaître le contenu des éléments chiffrés en SSH ?

[Opusyan]

Sinon, ya toujours la solution de demander l'aide d'un mj, ils ont l'air d'être calés sur pas mal de domaines :

[Kallye]

Huhu par contre avec les délais des MJs tu as intérêt à pas faire tes devoirs au dernier moment =)

[Archeon]

Peux-tu m'expliquer en bref Archeon ? Car je vois pas comment tu peux connaître le contenu des éléments chiffrés en SSH ?

me suis trompé c'est SSL ca fait une différence ;p et le protocole c'EST DPI-SSL (deep packet inspection of SSL encrypted data)
ceci dit je laisse pas sortir le SSH a part pour la plage IP des techniciens réseau ;p

[Neytiri]

Ok Archeon, merci pour la réponse.

[Kallye]

Lameth, en regardant j'ai je pense trouvé la solution pour faire un serveur proxy sur Windows 7 :
http://www.otium-france.net/2009/10/05/tutorial-installer-et-configurer-un-serveur-ssh-sur-windows/
http://www.techrepublic.com/blog/tr-dojo/set-up-a-free-ssh-server-on-windows-7-with-freesshd/


Et pour le client proxy, j'ai déjà essayé proxifier (bon c un shareware ) il roxx comme logiciel (tu peux clairement dire que tu ne redirige que wow*.exe vers le proxy), les autres sur w7 ça a pas l'air de bien fonctionner (à cause du 64 bits ptet)

[Dijinette]

j'espère que arch été pas pressé ^^

[Kallye]

Donc comme promis pour Kallye

C'est juste qu'en ce moment Free c'est pas ça les connexions, on tente de trouver de quoi éviter les engorgements pour récupérer notre co sous Wow