connexion SSH sur une machine derrière un routeur/pare-feu

[Frederic Tronel <Frederic dot Tronel at irisa dot fr>]

Salut,


On en a parlé jeudi soir, après avoir brillament réussi à ne pas installer 
Hurd. 
Comment avoir une connexion SSH sur une machine située derrière un NAT et/ou 
un pare-feu. Confirmation on le peut bien.
Pour cela on imagine:

Poste-A ------ NAT ------- Poste-B

Le poste-A est inacessible depuis le poste-B pour une connexion SSH (car A n'a 
pas d'IP routable, et le NAT ne peut pas être reconfiguré pour faire du 
forward de port), par contre l'inverse est vrai. On peut atteindre par SSH le 
poste-B (relié ane ADSL et IP fixe par exemple).
On procède ainsi:

Sur le poste-A on ouvre une connexion ssh vers le poste-B en utilisant un 
compte utilisateur (paroute) en ajoutant une option particulière:

poste-A> ssh -l paroute -R 1234:localhost:22   poste-B

Cela explique au démon sshd sur le poste-B, lorsqu'il reçoit la demande de 
connexion ssh de renvoyer le port 1234 sur localhost (donc le poste-B) vers 
le port 22 de la machine effectuant la connexion (poste-A) à travers le 
tunnel sécurisé (au nez et à la barbe du NAT).
Pour cela le démon sshd se met en écoute sur le port 1234, et attend les 
demandes de connexions. Dès qu'une connexion TCP est initiée vers le port 
1234 sur la machine localhost (poste-B) l'ensemble des paquets sont 
encapsulés dans le tunnel sécurisé vers le poste-A et envoyé vers le port 22 
(port SSH) vers le poste A. Ceci permet d'initier la connexion avec le démon 
SSH du poste-A, à partir du poste-B, en faisant:

poste-B> ssh -l utilisateur-B localhost -p 1234

On doit spécifier -p 1234 pour expliquer à ssh de se connecter sur le port 
1234, plutôt que le port par défaut 22.
Tout port > 1024 libre convient.

Fred.



-- 
IRISA-INRIA, Campus de Beaulieu, 35042 Rennes cedex, France
Tél: +33 (0) 2 99 84 22 32, Fax: +33 (0) 2 99 84 71 71