Scénario d'utilisation d'un proxy ssh

Maintenant que nous y voyons plus clair, voici deux scénarios d'utilisation d'un proxy ssh.

Proxy HTTP

Vous êtes sur un réseau avec un accès extérieur limité. Pas d'accès http :-(

Vous devez disposer d'une machine à l'extérieur sur laquelle tourne un serveur ssh et un proxy Squid par exemple.

Par défaut Squid utilise le port 3128. On met tout d'abord les autorisations à Squid afin qu'il accepte nos requêtes, sinon elles seront rejetées. (Voir les ACL du fichier /etc/squid.conf). Si vous êtes pressés un "http_access allow all" est brutal, mais ça marche ;-) Nous allons créer un tunnel vers ce service de la machine locale vers la machine distante sur le port 3128.

ssh  -N -f -L 3128:M1:3128 mlx@M1

Il ne reste plus qu'à configurer votre navigateur pour qu'il utilise le proxy local "localhost:3128" et le tour est joué. Vous pouvez naviguer en toute sécurité, si vos requêtes sont espionnées au niveau du firewall de votre boîte, elle ne pourront plus être lues.

Cette configuration présente une limitation. Vous ne pouvez utiliser le proxy qu'à partir de la machine sur laquelle vous avez créé le tunnel (M0).

Si vous êtes mobile dans votre entreprise et que vous souhaitez accéder à l'extérieur à partir d'autres machines, ou encore que vous voulez laisser cet accès à des amis qui utilisent le même réseau que vous, il faut procéder autrement.

ssh  -g -N -f -L 3128:M1:3128 mlx@M1

L'option "-g" va transformer votre machine en passerelle pour le tunnel. Les autres n'auront plus qu'à mettre comme proxy, le nom ou l'adresse de votre machine et le port 3128.

Si vous souhaitez par contre ouvrir le service de votre proxy à d'autres amis mais pouvant être dans d'autres boîtes ou sur d'autres réseaux, cela se complique un peu, car chacun d'eux doit pouvoir créer un tunnel vers votre proxy. Il faut donc, sur votre proxy créer plusieurs ports d'écoute pour les tunnels et rediriger tout ça vers votre proxy.

ssh -N -f -g -L 3130:localhost:3128 mlx@localhost
ssh -N -f -g -L 3131:localhost:3128 mlx@localhost
etc... etc...

Ici on a créé sur le proxy 2 ports, 3130 et 3131 qui redirigent vers le port 3128. Il suffit ensuite à partir des machines distantes (réseaux distants) de créer les tunnels vers ces ports.

MY$ ssh  -g -N -f -L 3128:localhost:3130 mlx@M1
MZ$ ssh  -g -N -f -L 3128:localhost:3130 mlx@M1

et d'utiliser les redirections comme cela a été expliqué plus haut.

Si vous ne souhaitez rediriger les requêtes que pour une machine (site web) en particulier vous pouvez créer un tunnel de la façon suivante :

M0:$ ssh  -N -f -L 3128:SITEWEB:3128 mlx@M1

où SITEWEB est l'url du site web que vous souhaitez atteindre (typiquement un webmail). Ici, la configuration du navigateur ne change pas. Le proxy est le même. Vous évitez juste l'utilisation d'un squid si vous n'en avez pas.

Remarque, dans le navigateur vous pouvez taper tout ce que vous voulez (yahoo, wanadoo, google...) vous arriverez toujours sur SITEWEB.

Autres scénarios

Si vous avez compris le principe pour le processus décrit ci-dessus, vous pouvez l'appliquer pour tous les autres services (messagerie pop ou imap, news, cvs, vnc ...).

Si un admin faisait trop de rétorsion, ne dites plus rien, vous savez maintenant comment vous y prendre.