Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004

Tunnla browsern via proxy?

Har precis börjat inte lite smått vad tunneling är, och eftersom jag inte orkar boota Linux så leker jag lite med Putty och ser om jag kan hitta på nåt kul mot KTH's server (den enda jag kan komma på som jag kan logga in mot).

Måste ju hitta på nåt att tunnla också så jag får se om det funkar eller inte. Har inget mailprogram eller nåt sånt att testa med.
Verkar däremot som man ska kunna styra om sin browser via en proxy, typ så det ser ut som man surfar från den datorn man tunnlar till.

Verkar så iallafall. Jag testade lite snabbt utan att egentligen veta hur det funkar att köra localhost port 3000 som proxy i Firefox. Sedan loggar jag in på mitt konto på KTH, och under tunnel-inställningarna sätter jag source port till 3000 (alltså, min localhost:3000 ska forwardas, och det satte jag ju som proxy i Firefox) och i mottagaränden (destination-fältet alltså) vetefan vad jag skulle sätta så jag chansade med shell.isk.kth.se, sedan shell.isk.kth.se:3000, sedan username@isk.kth.se:3000 men inget av det funkar. Jag loggar ju in med putty men när jag försöker surfa med Firefox så funkar inte det.

Kan man inte ha vilken annan dator som helst som proxy, eller sätter jag portar eller nåt annat fel?

Om det inte går, finns det nåt annat kul man kan tänkas tunnla för att iallafall testa om man får en lyckad tunnel eller inte?

Edit: Glömde visst att under "tunneling" trycka "add". Nu så verkar det funka lite bättre. När jag försöker gå in på nån sida så säger browsern "Dokumentet innehåller ingen data" eller nåt sånt. Däremot fungerar min webmail hos KTH. Inga andra KTH-addresser funkar dock. Testade lite olika portar på destination-datorn, 8080 och 3000 men samma resultat

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Dec 2004

Inte för att jag är så hajj på detta men, jag tror att du behöver en proxyserver hos kth för att få det att funka...

GCS/GE/GCM d-- s--: a? C+++ UBL+++ P+>++++ L+++(++) E--- W+++ N-(+) o-- w--- O- M++(-) V-- PS PE+++ Y+ PGP- t--- 5-- X-- R- tv- b++ DI++++ D---- G e* h r%(++) y?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004

Ja det tror jag också.
Men finns det inget kul sätt jag kan testa tunnla på då, mot just KTH eftersom jag inte har nåt annat att logga in via SSH mot.

Verkar ju tyvärr som så att ska man tunnla något någonstans så måste man ha ett eget konto där att logga in med SSH på. Förstår inte hur folk kan tunnla mail och såna grejer, eller proxys ute på nätet. Inte lär väl dom ge en ett eget Linux/Unix-konto på deras servrar som man loggar in till???

Tunnling verkar rätt skumt, men jäkligt coolt också säkert om man kan det.

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Jul 2005

Tunnling är nästan som portforwarding.

Tänk dig följande att din ISP har spärrat utgående port 25 men du vill inte använda deras mailserver som relay.

Då kan du med ssh logga in på en maskin på KTH och bygga en tullen från "din" port 25 till KTH's mailserver port 25.

Då kan du hemifrån skicka mail till port 25 på din maskin (localhost) och komma fram till KTH's mailserver men mailserver tror att det är den maskinen du har loggat in med ssh på som skickar mailet.

Samma sak kan du göra om KTH har webservrar som man endast kommer åt om man sitter på KTH's nät, då bygger du en tunnel på port 80 till den webservern, sedan är det bara att "surfa" till http://localhost och du kommer åt webservern.

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004

Hmm...ok...men jag vet ändå inget kul jag kan testa tunnla
Använder inga mailprogram, och har endast min KTH-mail samt några yahoo-konton.
Tror inte yahoo låter mig logga in via SSH på någon Linux-server dom har med ett eget konto
Och det verkar ju alltid va så man måste göra för att tunnla....man måste ha ett eget konto att logga in på via SSH, och samtidigt som man loggar in så öppnar man även en tunnel.

Så fort man läser nåt om tunneling så är det exempel med "logga in på det och det universitetet, eller den här proxyn" men vafan är det för folk som har konton på såna ställen med user/pass att logga in med?

Tror inte jag har några linux-konton på vare sig Telia (ISP) eller yahoo (mail). Och inte universitetet heller, men KTH kommer jag ju in på iallafall men inte mycket att göra där verkar det som.

En annan sak jag tänkte på, när man bara kör vanlig SSH till en burk, är det bara login som är krypterat då eller är allt man gör via SSH krypterat? Om jag kör SSH -X och startar Firefox från en server och surfar hemifrån (går knappt med 512kb men ändå) är allt jag gör då krypterat? Eller om jag loggar in och sedan kör "su -" och blir root, är det krypterat då eller är det bara första inloggen som är det?
Vet inte vad jag fått det ifrån, men jag har för mig att det var nåt sånt med SSH att lösenordet skickas krypterat men sen är allt öppet.

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002

All data som skickas över ssh är krypterad.

Trädvy Permalänk
Medlem
Plats
/root
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av Seb74
Om jag kör SSH -X och startar Firefox från en server och surfar hemifrån

Där har du ju ett typexempel på tunneling

"to conquer others is to have power, to conquer yourself is to know the way"
Blogg / Browser/OS-sniffer

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av dr slizer
Där har du ju ett typexempel på tunneling

Ja det kanske borde räknas som tunnling det också på sätt och vis.
Men det verkar som tunnling typ endast är vettigt om man har en mail där man kan logga in till ett shell-account med SSH, vilka som nu har det. Eller också om man har en server som kör vnc och vill koppla upp sig mot den utifrån.
Eller om man har spärrade portar att ta sig förbi.
Tja, det är ju några användningsområden iofs, även om inga passar in på mig

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

Local: sourceport tunnlas till destinationshost:port. anslut till localhost:sourceport för att använda tunneln.
Remote: sourceport öppnas på ssh-servern(*), och tunnlas tillbaka till destinationshost:port.
Dynamic: Du får en socks4-proxy på sourceport, som tunnlas till servern. funkar med de flesta program som har proxystöd. Det är det här du vill ha om du t ex skall surfa genom servern.

(*) De flesta servrar är konfigurerade så att dessa tunnlingar bara lyssnar på localhost. Det kan alltså bli problem att låta utomstående ansluta till din tunnlade port.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
Local: sourceport tunnlas till destinationshost:port. anslut till localhost:sourceport för att använda tunneln.
Remote: sourceport öppnas på ssh-servern(*), och tunnlas tillbaka till destinationshost:port.
Dynamic: Du får en socks4-proxy på sourceport, som tunnlas till servern. funkar med de flesta program som har proxystöd. Det är det här du vill ha om du t ex skall surfa genom servern.

(*) De flesta servrar är konfigurerade så att dessa tunnlingar bara lyssnar på localhost. Det kan alltså bli problem att låta utomstående ansluta till din tunnlade port.

Jaha, jag vet inte riktigt vad socks4 är för nåt, men dynamic-optionen är alltså till för att just emulera en proxy typ?
Men kan detta fungera även om servern man kör mot inte har nån proxy???
Alltså att man kan koppla upp sig och köra proxy på vilken dator som helst som man har ett shell-account på?

Och är det nån särskild sourceport på servern som man ska använda? Lär väl inte sitta något program där och vänta på att få vara proxy och vidarebefordra min browser-trafik ut på nätet så man kanske kan dra till med vad som helst....

Ska fortsätta läsa i putty-manualen tror jag...den var rätt trevlig

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av Seb74
Jaha, jag vet inte riktigt vad socks4 är för nåt, men dynamic-optionen är alltså till för att just emulera en proxy typ?
Men kan detta fungera även om servern man kör mot inte har nån proxy???
Alltså att man kan koppla upp sig och köra proxy på vilken dator som helst som man har ett shell-account på?

Ja. sourceport kan du välja vilken som helst, det är bara den du ansluter till hemma på din dator.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
Ja. sourceport kan du välja vilken som helst, det är bara den du ansluter till hemma på din dator.

Ja det funkade ju inte mot KTH iallafall (förutom att komma åt just min webmail där men ingenting annat).
Kanske inte så konstigt, dom måste väl ha en proxy där eller nåt för att det ska funka, och det kanske dom inte vill ha så att vem som helst kan surfa pr0n från deras proxy

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av Seb74
Ja det funkade ju inte mot KTH iallafall (förutom att komma åt just min webmail där men ingenting annat).
Kanske inte så konstigt, dom måste väl ha en proxy där eller nåt för att det ska funka

Nej det måste de inte, men de kan ha stängt av eller begränsat den funktionaliteten i ssh.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
Nej det måste de inte, men de kan ha stängt av eller begränsat den funktionaliteten i ssh.

Jaha. Kan du då berätta vad motsvarigheten är om man från Linux använder SSH istället för Putty?
Så kan jag låta Linux stå på här hemma och testa från skolan kanske, bara för att se hur det funkar. Kolla sin IP på nån sida och se om den visar min hemifrån-IP istället för skoldatorns.
För det går ju via SSH så ingen lär ju kunna sniffa åt sig min inloggning hemma antar jag....inte så lätt tiallafall.

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

ssh -D portnr user@host
och ställer in localhost:portnr som socks-proxy i din webbläsare/annat program.

för local och remote forwards använder du -L sourceport:desthost:destport och -R sourceport:desthost:destport.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004

Jaha, inte vanlig http-proxy utan "SOCKS-värd" som Firefox kallar det.
Det är alltså bara olika sorters proxy's man väljer mellan där antar jag, och just denna man kan få via SSH råkar vara SOCKS-proxy.

Tackar

Hehe, remote, det är väl aldrig så att man styr om trafik som kommer in till remote-datorn till sin egen dator?
Nej, det vore ju helt galet...antar att det gör något annat.

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av Seb74
Hehe, remote, det är väl aldrig så att man styr om trafik som kommer in till remote-datorn till sin egen dator?
Nej, det vore ju helt galet...antar att det gör något annat.

Det är precis vad man gör.. men det är som sagt begränsat default så att man bara kan ansluta till tunneln om man befinner sig på remote-datorn.
Serveradmin kan ändra detta genom att sätta GatewayPorts Yes i sshd_config.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004

Stort tack

Vore som sagt lite sjukt om man kunde logga in på vilken dator som helst som man har konto på, och styra om dess trafik hem till sig själv

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av Seb74
Stort tack

Vore som sagt lite sjukt om man kunde logga in på vilken dator som helst som man har konto på, och styra om dess trafik hem till sig själv

Det kan du göra ändå, eftersom du kan köra program på datorn.. sålänge det tillåts av brandväggen.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
ssh -D portnr user@host
och ställer in localhost:portnr som socks-proxy i din webbläsare/annat program.

för local och remote forwards använder du -L sourceport:desthost:destport och -R sourceport:desthost:destport.

Detta gör det alltså säkert att surfa i ett LAN utan att nån lokalt kan sniffa åt sig några lösenord när man surfar....tex i en skola?

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

Ja.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
Ja.

Snabba ryck
Bra iallafall att det är så pass enkelt....måste testa nån gång

Edit: Funkar inte
Skrev in "ssh -D 5000 seb@hemligt.com" och loggade in med mitt lösen.
Sedan satter jag socks-proxyn i Firefox till localhost port 5000.

Port 5000 kanske var olyckligt val eller nåt, för jag kan inte surfa efter det

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

Tja, inte vet jag. det är inte omöjligt att kth filtrerar portar även på localhost, testa med 60000 eller nåt. eller att deras ssh-klient inte stöder -D.
Du kan kolla så att din server har AllowTcpForwarding påslaget också. det skall vara det default, men man vet aldrig.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
Tja, inte vet jag. det är inte omöjligt att kth filtrerar portar även på localhost, testa med 60000 eller nåt. eller att deras ssh-klient inte stöder -D.
Du kan kolla så att din server har AllowTcpForwarding påslaget också. det skall vara det default, men man vet aldrig.

Min server? sshd alltså, eller nån vanlig nätverksinställning i nån av alla config-filer?

Kan testa från jobbet sen också, men det blir senare i veckan.

Synd att det inte funkade iallafall. Alltid trist när man tror man lärt sig och förstått nåt, och så när man ska testa så går det inte

CCNA sedan juni 2006

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

/etc/ssh/sshd_config

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Aphex
/etc/ssh/sshd_config

Jodu, den var visst avstängd som default i FC4.
Ska aktivera det och testa utifrån vid lämpligt tillfälle
Fixade min första tunnel idag iallafall (hade missuppfattat tunnel-syntaxen en aning tidigare), och körde VNC genom. Funkar bra, förutom att min VNC-desktop alltid bara blir 800x600, men det kan vara nån serverlokal X-inställning eventuellt....nåt default att den ska köra 1280 på min skärm, men när den kopplas till nåt annat så kör den 800x600. Får leta vidare senare, 800x600 funkar ju iallafall.

Läckert förresten att Java-VNC-viewern var betydligt snabbare än den förkompilerade varianten. TightVNC, samma inställningar på komprimering etc

CCNA sedan juni 2006