Přihlášení | Registrace

napište » Zprávičky

dnes 00:33 | Nová verze

Firma Proxmox vydala novou serverovou distribuci Datacenter Manager ve verzi 1.0 (poznámky k vydání). Podobně jako Virtual Environment, Mail Gateway či Backup Server je založená na Debianu, k němuž přidává integraci ZFS, webové administrační rozhraní a další. Datacenter Manager je určený ke správě instalací právě ostatních distribucí Proxmox.

|🇵🇸 | Komentářů: 0

Apache HTTP Server (httpd) 2.4.66 řeší 5 bezpečnostních chyb

včera 23:44 | Nová verze

Byla vydána nová verze 2.4.66 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 5 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

JavaScript slaví 30 let

včera 14:00 | IT novinky

Programovací jazyk JavaScript (Wikipedie) dnes slaví 30 let od svého oficiálního představení 4. prosince 1995.

Ladislav Hagara | Komentářů: 0

Kritická zranitelnost v React Server Components

včera 04:22 | Bezpečnostní upozornění

Byly zveřejněny informace o kritické zranitelnosti CVE-2025-55182 s CVSS 10.0 v React Server Components. Zranitelnost je opravena v Reactu 19.0.1, 19.1.2 a 19.2.1.

Ladislav Hagara | Komentářů: 2

Linux 6.18 je jádrem s prodlouženou upstream podporou (LTS)

včera 02:44 | Komunita

Bylo rozhodnuto, že nejnovější Linux 6.18 je jádrem s prodlouženou upstream podporou (LTS). Ta je aktuálně plánována do prosince 2027. LTS jader je aktuálně šest: 5.10, 5.15, 6.1, 6.6, 6.12 a 6.18.

Ladislav Hagara | Komentářů: 0

Alpine Linux 3.23.0

včera 02:22 | Nová verze

Byla vydána nová stabilní verze 3.23.0, tj. první z nové řady 3.23, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Django 6.0

3.12. 18:11 | Nová verze

Byla vydána verze 6.0 webového aplikačního frameworku napsaného v Pythonu Django (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

WordPress 6.9 Gene

3.12. 05:55 | Nová verze

Po více než 7 měsících vývoje od vydání verze 6.8 byla vydána nová verze 6.9 svobodného open source redakčního systému WordPress. Kódové jméno Gene bylo vybráno na počest amerického jazzového klavíristy Gene Harrise (Ray Brown Trio - Summertime).

Ladislav Hagara | Komentářů: 16

Vývoj webového prohlížeče Ladybird (11/2025)

3.12. 05:11 | Komunita

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za listopad (YouTube).

Ladislav Hagara | Komentářů: 0

Google Chrome 143

3.12. 01:55 | Nová verze

Google Chrome 143 byl prohlášen za stabilní. Nejnovější stabilní verze 143.0.7499.40 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 13 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (34%)

Gitlab (47%)

Atlassian (19%)

Bitbucket (18%)

Gitea (23%)

Mercurial (15%)

jen git (25%)

jen svn (16%)

Jiné (uvedu v diskusi) (18%)

Celkem 427 hlasů

Komentářů: 18, poslední 2.12. 18:34

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / SSH spojení za NAT

Štítky: hardware, NAT, notebook, proxy, server, síť, sítě, spojení, SSH

Dotaz: SSH spojení za NAT

23.4.2014 20:27 Malinář
SSH spojení za NAT

Přečteno: 665×

Odpovědět | Admin

Věc se má tak, že na privátě mám notebook s Linuxem, který je schovaný minimálně za dvěma NATy (síť poskytovatele + síť v domě), a doma o půl republiky dál mám doma RPi jako server, který je z internetu dostupný přímo pod veřejnou IP. Moje otázka je jestli je možné to nějak udělat abych třeba z tabletu (který je obvykle taky někde za NATem) se dostal k tomu notebooku přes SSH, přičemž by RPi doma sloužil nejspíš jako proxy. Předpokládám, že to asi nějak jde, ale netuším jak. Poradíte někdo prosím?

Nástroje: Začni sledovat (2) ?

Odpovědi

23.4.2014 20:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Na notebooku vytvořit skript a dát ho do cronu:

ps axu | grep -q [u]ser@pi || ssh -p 22 user@pi -N -R 0.0.0.0:9944:localhost:22

na RPi musíš vyrobit uživatele, přidat mu SSH klíč z notebooku a nastavit v /etc/ssh/sshd_config GatewayPorts clientspecified (jinak se půjde připojit jen z localhostu).

24.4.2014 17:19 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Jak píše Jenda. Nebo si nahoď IPv6 tunel.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.4.2014 01:46 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Možností je několik. Buď, co píše Jenda. Nebo na malině a klientech spustit openVPN, což může být trochu overkill. Nebo již zmíněný IPv6 tunel. Nebo podle Krčmářova článku na rootu.

25.4.2014 11:21 GeBu | skóre: 27 | blog: zápisky
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Jak jsem to vyřešil já. Je to v podstatě IPv6 tunel.

25.4.2014 12:31 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Dá se vytvořit IPSec VPN s podporou IPv6 a tím spojit notebook za NATem se serverem, jako by byly na jedné síti. (Místo IPv6 se dá taky použít nějaký neveřejný IPv4 rozsah, ale otázka je, kdo by o takovou fosilii stál. Pro tento typ VPN používám StrongSwan.
Někteří považují za jednodušší použít OpenVPN v režimu tap, což je VPN na 2. vrstvě síťového stacku (narozdíl od IPSec, který je (z hlediska uživatele) spíš jen na 3. vrstvě). To s jednoduchostí je pouze a výhradně věc názoru, nicméně OpenVPN je bezesporu další jednoduchá možnost, jak dostat obě zařízení na jednu síť.
Pak je tu možnost, která je nejsnazší na vyzkoušení, ale trocho otrava na údržbu, a sice připojit se pomocí SSH přes SSH tunel. Tedy na notebooku při startu spustit ssh -f -N -R adresa_serveru:port:localhost:22 uživatel@adresa_serveru. Tím se naváže SSH tunel a na notebook se pak dá dostat přes SSH pomocí ssh -p port adresa_serveru. Ten port je vhodné zvolit jiný než implicitní SSH, aby nedocházelo ke konfliktům při spuštění sshd, tedy něco jako 22222 a podobně. Je vhodné vyrobit si službu pro systemd, která takové spuštění SSH zajistí.

K bodu 3 bych doplnil příklad takové služby pro systemd. Stačí to trochu tweaknout, dát to někam do /etc/systemd/system/sshtunnel.service a pak už jen systemctl daemon-reload; systemctl enable sshtunnel; systemctl start sshtunnel. U této konfigurace má uživatel root na notebooku ve svém ~/.ssh uložený nešifrovaný soukromý SSH klíč pro uživatele lojza na vzdáleném serveru. Díky tomu se služba může automaticky spustit, bez zadávání čehokoliv. (Lojza by měl být samozřejmě extrémně omezený, tedy neměl by smět v podstatě nic kromě otvírání nějakého portu 22222.)

[Unit]
Description=SSH over SSH tunnel to reach this machine from outside
After=NetworkManager-wait-online.service
Requires=NetworkManager-wait-online.service

[Service]
Type=forking
ExecStart=/usr/bin/ssh -o ConnectionAttempts=3600 -f -C -N -R *:22222:[::1]:22 lojza@my.server.example.com

[Install]
WantedBy=multi-user.target

Pokud jde o možnosti (1) a (2), v případě zájmu sem můžu dát nějakou konfiguraci IPSec (StrongSwan) s podporou IPv6, případně OpenVPN konfigurák, obojí samozřejmě s podporou autentifikace certifikátem. Ale na obojí se dá tak či tak najít spousta návodů na webu. Možnost (3) je tak trochu quick and dirty řešení, ale někdy se může fakt hodit. IPSec nebo OpenVPN mají samozřejmě tu výhodu, že se přes ně dá routovat i spousta dalších věcí, nikoliv jenom SSH. Například když má server veřejnou IPv4 adresu, má automaticky taky 2^80 veřejných IPv6 adres. Tedy může sloužit jako vzdálený IPv6 router pro notebook schovaný za dvěma NATy, který by se jinak k IPv6 třeba vůbec nedostal. Něco takového možnost (3) zkrátka neumí.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje