Pohádka o tunelování ssh přes dva NATy

23.11.2007 21:15 | Přečteno: 3553× | varia

Bylo, nebylo. Za sedmero firewally a sedmero NATy žily byly dva počítače, domek a hrad. V domku bydlel hloupý Honza a v hradu princezna. Ani jeden z nich neměl veřejnou IP adresu a tak po sobě dlouho jen platonicky toužili a Honza princezně nosil zamilovaná psaníčka jen na disketách. Pan král jejich spojení nepřál a tak Honzu s žádostí o přesměrování portů poslal tam, kde slunce nevychází. Honza ale po princezně toužil čím dál tím víc, a tak se rozhodl pro ďábelský plán: vykope tunel ...

Honza měl víc štěstí než rozumu, protože potkal hodnou kouzelnou babičku, která mu za pár buchet dovolila přístup do své chaloupky, která nejenže měla veřejnou IP adresu, běžela na linuxu, ale také měla povolený sshd port forwarding. Babička mu ochotně zřídila účet i pro princeznu. Honza chvíli hledal na googlu a pak se v převleku dostal na hrad, kde bydlela princezna a napsal:

ssh-keygen princenzna
scp princezna.pub princezna@chaloupka:princezna.pub

Ještě postaru, heslem, se připojila princezna do chaloupky a pomocí

cat princezna.pub>>~/.ssh/authorized_keys

přidala klíč. Honza pak princezně na hradu vytvořil soubor /home/princezna/.ssh/config, do kterého napsal:

Host chaloupka
        User princezna
        IdentityFile ~/.ssh/princezna

Mohli si tak přes ytalk vesele povídat aniž by král vůbec co tušil.

Jak šel čas, začal být ale Honza princezně čím dál tím bližší a chtěla ho pozvat k sobě na hrad. Jak ale na to ? Princezna šla trochu googlit a objevila reverzní tunel. Stačilo na hradě napsat ssh -R 7777:hrad:22 a Honza se mohl ze svého účtu honza@chaloupka pomocí příkazu ssh -p 7777 localhost přihlásit přímo na hrad.

Jako v každé pohádce ale přišel problém. I když pan král o ničem nevěděl, objevil se drak Paketožrout, který seděl pod hradem a žral pakety. Ke vší smůle taky princezna zapoměla svou passphrase, protože ji už rok nepotřebovala. Princ byl na pokraji zoufalství a začal vymýšlet, jak to udělat aby se přerušené spojení dalo navzovat automaticky, když jeho krásná, ale úplně blbá princezna nesedí furt u klávesnice.V diskuzi mu poradili openVPN, s tím ale neměl žádné zkušenosti a protože chtěl tunelovat jen ssh, zrodil se v jeho hlavě ďábelský plán. Udělá TunelDémona, který bude hlídat spojení a když ho Paketožrout přeruší, tak ho znovu nahodí. Aby to chodilo automaticky, i když princezna není nalogovaná, bude se muset vytvořit klíč bez passphrase, který bude v rootově vlastictví. Protože princezně počítač hlídala celá setnina královského vojska (a princezna byla jediný člověk, který měl roota), tak si mohli dovolit nezadat passphrase a pricezna se mohla jednoduše logovat pomocí ssh chaloupka. A aby si byl jistý, vytvořil následující skript, který nechal volat cronem každou hodinu:

#!/bin/sh
whereToLog="chaloupka"
remoteport="777"
localport="222"
sshcmd="ssh -R $remoteport:`uname -n`:$localport $whereToLog -n -N"

export PATH="${PATH:+$PATH:}/usr/sbin:/sbin"
pid=`ps aux|grep "$sshcmd"|grep -v "grep"|sed -e s/"^\([a-z]*\)\([ ]*\)\([0-9]*\)\(.*\)"/"\3"/g`
case "$1" in
  stop)
        echo "Stopping TunnelD"
        kill $pid
        ;;
  start|check)
        echo -n "TunnelD ... "
        if test -n "$pid"; then 
                echo "running"
        else 
                echo "starting"
                `$sshcmd`&
                logger "sshd to $whereToLog (re)started"
        fi 
        ;;
  *)
        echo "Usage: tunneld {start|stop|check}"
        exit 1
esac
exit 0

Za chvilku to měl napsané a odladěné, došel k princezně, tam vytvořil ten klíč, nahrál skript a nastavil crona. Ssh tunel jim dobře sloužil a jestli neumřeli, tak jim to chodí dodnes.

Důležitá poznámka na konec

Pokud se vám nějaká část pohádky nezdá a vyprávěli byste jí jinak, tak se, prosím, podělte v diskuzi, protože princ půjde nahrávat skript až zítra        

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru