Přihlášení | Registrace

napište » Zprávičky

PuTTY 0.81 opravuje kritickou bezpečnostní chybu

dnes 04:33 | Bezpečnostní upozornění

Byla vydána verze 0.81 telnet a ssh klienta PuTTY. Opravena je kritická bezpečnostní chyba CVE-2024-31497 obsažena ve verzích 0.68 až 0.80. Používáte-li klíč ECDSA NIST P521 a použili jste jej v PuTTY nebo Pageantu, považujte jej za kompromitovaný.

Ladislav Hagara | Komentářů: 0

Hra MineClone2 přejmenována na VoxeLibre

včera 21:44 | Komunita

Hra MineClone2 postavena nad voxelovým herním enginem Minetest byla přejmenována na VoxeLibre.

Ladislav Hagara | Komentářů: 0

ÚOOÚ uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR

včera 19:11 | IT novinky

Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž docházelo prokazatelně po část roku 2019.

… více »

Ladislav Hagara | Komentářů: 2

WeeklyOSM CZ 714

včera 15:55 | Zajímavý článek

Bylo vydáno do češtiny přeložené číslo 714 týdeníku WeeklyOSM přinášející zprávy ze světa OpenStreetMap.

Ladislav Hagara | Komentářů: 0

Maker Faire Jihlava

včera 15:44 | Pozvánky

V sobotu 20. dubna lze navštívit Maker Faire Jihlava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

Ladislav Hagara | Komentářů: 0

RNNoise 0.2

včera 14:44 | Zajímavý software

Knihovna pro potlačení šumu RNNoise byla vydána ve verzi 0.2. Kvalitu potlačení lze vyzkoušet na webovém demu.

Ladislav Hagara | Komentářů: 0

FRRouting (FRR) 10.0

včera 04:33 | Nová verze

FRRouting (FRR) (Wikipedie), tj. softwarová sada pro směrování síťové komunikace, fork Quagga, byl vydán ve verzi 10.0.

Ladislav Hagara | Komentářů: 0

APT 2.9.0 a 2.9.1

včera 03:22 | Nová verze

Julian Andres Klode vydal APT (Advanced Packaging Tool) ve verzích 2.9.0 a 2.9.1. Jedná se o vývojové verze nové větve APT 3.0. Vylepšuje se uživatelské rozhraní. Přidány byly barvičky. Aktuální náhledy a vývoj lze sledovat na Mastodonu.

Ladislav Hagara | Komentářů: 3

Vložitelný herní engine / LibGodot

14.4. 17:00 | Komunita

Miguel de Icaza se na svém blogu rozepsal o vložitelných herních enginech. Kdysi slibné projekty UrhoSharp a Urho3D jsou již mrtvé. Zůstává Godot. Aktuálně vývojáři řeší Pull request #90510 s návrhem knihovny LibGodot.

Ladislav Hagara | Komentářů: 0

Lakka 5.0 s RetroArchem 1.17.0

14.4. 03:44 | Nová verze

Byla vydána nová verze 5.0 linuxové distribuce Lakka, jež umožňuje transformovat podporované počítače v herní konzole. Nejnovější Lakka přichází s RetroArchem 1.17.0.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (60%)

čekám, až se dostane do mé distibuce (13%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (24%)

Celkem 409 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / SSH spojení za NAT

Štítky: hardware, NAT, notebook, proxy, server, síť, sítě, spojení, SSH

Dotaz: SSH spojení za NAT

23.4.2014 20:27 Malinář
SSH spojení za NAT

Přečteno: 629×

Odpovědět | Admin

Věc se má tak, že na privátě mám notebook s Linuxem, který je schovaný minimálně za dvěma NATy (síť poskytovatele + síť v domě), a doma o půl republiky dál mám doma RPi jako server, který je z internetu dostupný přímo pod veřejnou IP. Moje otázka je jestli je možné to nějak udělat abych třeba z tabletu (který je obvykle taky někde za NATem) se dostal k tomu notebooku přes SSH, přičemž by RPi doma sloužil nejspíš jako proxy. Předpokládám, že to asi nějak jde, ale netuším jak. Poradíte někdo prosím?

Nástroje: Začni sledovat (2) ?

Odpovědi

23.4.2014 20:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Na notebooku vytvořit skript a dát ho do cronu:

ps axu | grep -q [u]ser@pi || ssh -p 22 user@pi -N -R 0.0.0.0:9944:localhost:22

na RPi musíš vyrobit uživatele, přidat mu SSH klíč z notebooku a nastavit v /etc/ssh/sshd_config GatewayPorts clientspecified (jinak se půjde připojit jen z localhostu).

Já to s tou denacifikací Slovenska myslel vážně.

24.4.2014 17:19 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Jak píše Jenda. Nebo si nahoď IPv6 tunel.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.4.2014 01:46 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Možností je několik. Buď, co píše Jenda. Nebo na malině a klientech spustit openVPN, což může být trochu overkill. Nebo již zmíněný IPv6 tunel. Nebo podle Krčmářova článku na rootu.

25.4.2014 11:21 GeBu | skóre: 27 | blog: zápisky
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Jak jsem to vyřešil já. Je to v podstatě IPv6 tunel.

25.4.2014 12:31 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Dá se vytvořit IPSec VPN s podporou IPv6 a tím spojit notebook za NATem se serverem, jako by byly na jedné síti. (Místo IPv6 se dá taky použít nějaký neveřejný IPv4 rozsah, ale otázka je, kdo by o takovou fosilii stál. Pro tento typ VPN používám StrongSwan.
Někteří považují za jednodušší použít OpenVPN v režimu tap, což je VPN na 2. vrstvě síťového stacku (narozdíl od IPSec, který je (z hlediska uživatele) spíš jen na 3. vrstvě). To s jednoduchostí je pouze a výhradně věc názoru, nicméně OpenVPN je bezesporu další jednoduchá možnost, jak dostat obě zařízení na jednu síť.
Pak je tu možnost, která je nejsnazší na vyzkoušení, ale trocho otrava na údržbu, a sice připojit se pomocí SSH přes SSH tunel. Tedy na notebooku při startu spustit ssh -f -N -R adresa_serveru:port:localhost:22 uživatel@adresa_serveru. Tím se naváže SSH tunel a na notebook se pak dá dostat přes SSH pomocí ssh -p port adresa_serveru. Ten port je vhodné zvolit jiný než implicitní SSH, aby nedocházelo ke konfliktům při spuštění sshd, tedy něco jako 22222 a podobně. Je vhodné vyrobit si službu pro systemd, která takové spuštění SSH zajistí.

K bodu 3 bych doplnil příklad takové služby pro systemd. Stačí to trochu tweaknout, dát to někam do /etc/systemd/system/sshtunnel.service a pak už jen systemctl daemon-reload; systemctl enable sshtunnel; systemctl start sshtunnel. U této konfigurace má uživatel root na notebooku ve svém ~/.ssh uložený nešifrovaný soukromý SSH klíč pro uživatele lojza na vzdáleném serveru. Díky tomu se služba může automaticky spustit, bez zadávání čehokoliv. (Lojza by měl být samozřejmě extrémně omezený, tedy neměl by smět v podstatě nic kromě otvírání nějakého portu 22222.)

[Unit]
Description=SSH over SSH tunnel to reach this machine from outside
After=NetworkManager-wait-online.service
Requires=NetworkManager-wait-online.service

[Service]
Type=forking
ExecStart=/usr/bin/ssh -o ConnectionAttempts=3600 -f -C -N -R *:22222:[::1]:22 lojza@my.server.example.com

[Install]
WantedBy=multi-user.target

Pokud jde o možnosti (1) a (2), v případě zájmu sem můžu dát nějakou konfiguraci IPSec (StrongSwan) s podporou IPv6, případně OpenVPN konfigurák, obojí samozřejmě s podporou autentifikace certifikátem. Ale na obojí se dá tak či tak najít spousta návodů na webu. Možnost (3) je tak trochu quick and dirty řešení, ale někdy se může fakt hodit. IPSec nebo OpenVPN mají samozřejmě tu výhodu, že se přes ně dá routovat i spousta dalších věcí, nikoliv jenom SSH. Například když má server veřejnou IPv4 adresu, má automaticky taky 2^80 veřejných IPv6 adres. Tedy může sloužit jako vzdálený IPv6 router pro notebook schovaný za dvěma NATy, který by se jinak k IPv6 třeba vůbec nedostal. Něco takového možnost (3) zkrátka neumí.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje