Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

GIMP 3.2 RC3

dnes 04:33 | Nová verze

Byla vydána (Mastodon, 𝕏) třetí RC verze GIMPu 3.2. Přehled novinek v oznámení o vydání. Podrobně v souboru NEWS na GitLabu.

Ladislav Hagara | Komentářů: 0

iPhone 17e a iPad Air s čipem M4

včera 21:44 | IT novinky

Apple představil iPhone 17e a iPad Air s čipem M4.

Ladislav Hagara | Komentářů: 0

Gram 1.0

včera 21:11 | Zajímavý software

Byla vydána verze 1.0 editoru kódů Gram. Jedná se o fork editoru Zed bez telemetrie a umělé inteligence.

Ladislav Hagara | Komentářů: 0

Oznámena spolupráce GrapheneOS s Motorolou

včera 20:33 | IT novinky

Byla oznámena spolupráce GrapheneOS s Motorolou. Podrobnosti v tiskové zprávě. GrapheneOS (Wikpedie) je varianta Androidu zaměřující se na bezpečnost a soukromí.

Ladislav Hagara | Komentářů: 0

Armbian 26.2.1

včera 02:22 | Nová verze

Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 26.2.1. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0

Začaly volby do Rady openSUSE

včera 02:11 | Komunita

Volí se dvě místa v Radě openSUSE. Seznamte se se čtyřmi kandidáty. Členové projektu openSUSE mohou hlasovat od 1. do 8. března. Výsledky budou oznámeny 9. března.

lkocman | Komentářů: 1

OpenAI uzavřela dohodu s Pentagonem

1.3. 19:22 | IT novinky

Společnost OpenAI uzavřela dohodu s americkým ministerstvem obrany o poskytování technologií umělé inteligence (AI) pro utajované sítě americké armády. Firma to oznámila několik hodin poté, co prezident Donald Trump nařídil vládě, aby přestala využívat služby společnosti Anthropic.

Ladislav Hagara | Komentářů: 10

Pentagon označil Anthropic za bezpečnostní riziko

1.3. 13:33 | IT novinky

Technologická společnost Anthropic v noci na dnešek oznámila, že se obrátí na soud kvůli rozhodnutí ministerstva obrany označit ji za bezpečnostní riziko dodavatelského řetězce poté, co nevyhověla jeho požadavkům týkajícím se používání umělé inteligence (AI). Prezident Donald Trump krátce před tím uvedl, že nařídil federálním úřadům postupně ukončit využívání jejích AI technologií. Spor mezi firmou vyvíjející chatbot Claude a

… více »

Ladislav Hagara | Komentářů: 11

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík

28.2. 15:44 | Upozornění

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

Ladislav Hagara | Komentářů: 8

iPhone a iPad získávají certifikaci pro práci s utajovanými informacemi NATO

27.2. 17:33 | IT novinky

Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

Ladislav Hagara | Komentářů: 20

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / SSH spojení za NAT

Štítky: hardware, NAT, notebook, proxy, server, síť, sítě, spojení, SSH

Dotaz: SSH spojení za NAT

23.4.2014 20:27 Malinář
SSH spojení za NAT

Přečteno: 668×

Odpovědět | Admin

Věc se má tak, že na privátě mám notebook s Linuxem, který je schovaný minimálně za dvěma NATy (síť poskytovatele + síť v domě), a doma o půl republiky dál mám doma RPi jako server, který je z internetu dostupný přímo pod veřejnou IP. Moje otázka je jestli je možné to nějak udělat abych třeba z tabletu (který je obvykle taky někde za NATem) se dostal k tomu notebooku přes SSH, přičemž by RPi doma sloužil nejspíš jako proxy. Předpokládám, že to asi nějak jde, ale netuším jak. Poradíte někdo prosím?

Nástroje: Začni sledovat (2) ?

Odpovědi

23.4.2014 20:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Na notebooku vytvořit skript a dát ho do cronu:

ps axu | grep -q [u]ser@pi || ssh -p 22 user@pi -N -R 0.0.0.0:9944:localhost:22

na RPi musíš vyrobit uživatele, přidat mu SSH klíč z notebooku a nastavit v /etc/ssh/sshd_config GatewayPorts clientspecified (jinak se půjde připojit jen z localhostu).

24.4.2014 17:19 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Jak píše Jenda. Nebo si nahoď IPv6 tunel.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.4.2014 01:46 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Možností je několik. Buď, co píše Jenda. Nebo na malině a klientech spustit openVPN, což může být trochu overkill. Nebo již zmíněný IPv6 tunel. Nebo podle Krčmářova článku na rootu.

25.4.2014 11:21 GeBu | skóre: 27 | blog: zápisky
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Jak jsem to vyřešil já. Je to v podstatě IPv6 tunel.

25.4.2014 12:31 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: SSH spojení za NAT

Dá se vytvořit IPSec VPN s podporou IPv6 a tím spojit notebook za NATem se serverem, jako by byly na jedné síti. (Místo IPv6 se dá taky použít nějaký neveřejný IPv4 rozsah, ale otázka je, kdo by o takovou fosilii stál. Pro tento typ VPN používám StrongSwan.
Někteří považují za jednodušší použít OpenVPN v režimu tap, což je VPN na 2. vrstvě síťového stacku (narozdíl od IPSec, který je (z hlediska uživatele) spíš jen na 3. vrstvě). To s jednoduchostí je pouze a výhradně věc názoru, nicméně OpenVPN je bezesporu další jednoduchá možnost, jak dostat obě zařízení na jednu síť.
Pak je tu možnost, která je nejsnazší na vyzkoušení, ale trocho otrava na údržbu, a sice připojit se pomocí SSH přes SSH tunel. Tedy na notebooku při startu spustit ssh -f -N -R adresa_serveru:port:localhost:22 uživatel@adresa_serveru. Tím se naváže SSH tunel a na notebook se pak dá dostat přes SSH pomocí ssh -p port adresa_serveru. Ten port je vhodné zvolit jiný než implicitní SSH, aby nedocházelo ke konfliktům při spuštění sshd, tedy něco jako 22222 a podobně. Je vhodné vyrobit si službu pro systemd, která takové spuštění SSH zajistí.

K bodu 3 bych doplnil příklad takové služby pro systemd. Stačí to trochu tweaknout, dát to někam do /etc/systemd/system/sshtunnel.service a pak už jen systemctl daemon-reload; systemctl enable sshtunnel; systemctl start sshtunnel. U této konfigurace má uživatel root na notebooku ve svém ~/.ssh uložený nešifrovaný soukromý SSH klíč pro uživatele lojza na vzdáleném serveru. Díky tomu se služba může automaticky spustit, bez zadávání čehokoliv. (Lojza by měl být samozřejmě extrémně omezený, tedy neměl by smět v podstatě nic kromě otvírání nějakého portu 22222.)

[Unit]
Description=SSH over SSH tunnel to reach this machine from outside
After=NetworkManager-wait-online.service
Requires=NetworkManager-wait-online.service

[Service]
Type=forking
ExecStart=/usr/bin/ssh -o ConnectionAttempts=3600 -f -C -N -R *:22222:[::1]:22 lojza@my.server.example.com

[Install]
WantedBy=multi-user.target

Pokud jde o možnosti (1) a (2), v případě zájmu sem můžu dát nějakou konfiguraci IPSec (StrongSwan) s podporou IPv6, případně OpenVPN konfigurák, obojí samozřejmě s podporou autentifikace certifikátem. Ale na obojí se dá tak či tak najít spousta návodů na webu. Možnost (3) je tak trochu quick and dirty řešení, ale někdy se může fakt hodit. IPSec nebo OpenVPN mají samozřejmě tu výhodu, že se přes ně dá routovat i spousta dalších věcí, nikoliv jenom SSH. Například když má server veřejnou IPv4 adresu, má automaticky taky 2^80 veřejných IPv6 adres. Tedy může sloužit jako vzdálený IPv6 router pro notebook schovaný za dvěma NATy, který by se jinak k IPv6 třeba vůbec nedostal. Něco takového možnost (3) zkrátka neumí.

Založit nové vlákno • Nahoru

Tiskni Sdílej: