Сабж собственно вопрос. Гуглил, не особо помогло, нашел http://www.freshports.org/net/gotthard/ но последний релиз был в 2006 году, както неохота. Может есть какаято альтернатива? По сути единственный вариант, который мне подходит - это инкапсуляция SSH траффика под HTTP[s], для прохождения через прокси, который режет все. Даже есть лимит в максимум 50кб за 1 сессию на выход :((
ssh _работает_ через httpS(именно httpS) прокси, если прокся поддерживает метод CONNECT.
если там у вас всё так урезано, то можно предположить что метод CONNECT урезан тоже(я его первым делом урезаю, т.к. это дыра в безопасности). Тем не менее, метод коннект может быть разрешен у вас только на порт 443. вы можете зайти оттуда браузером, скажем на https://gmail.com:443 ? если да - перевесьте sshd на этот порт.
Если нет - вам определенно поможет http://www.nocrew.org/software/httptunnel.htmlно 50кб на сессию - это действительно проблема, отпишитесь если вы будете использовать httptunnel. используйте сжатие (ssh -C) чтобы экономить драгоценные байты.
openvpnremote ваш-внешний-openvpn-сервер
client
port 443
proto tcp
dev tun
http-proxy ваш-корпоративный-прокси 8080 (или какой там у него порт)на внешнем openvpn сервере настройте nat.
после поднятия openvpn линка поставьте на него маршрут по умолчанию - и имейте счастье.
>ssh _работает_ через httpS(именно httpS) прокси, если прокся поддерживает метод CONNECT.
>если там у вас всё так урезано, то можно предположить что метод
>CONNECT урезан тоже(я его первым делом урезаю, т.к. это дыра в
>безопасности). Тем не менее, метод коннект может быть разрешен у вас
>только на порт 443. вы можете зайти оттуда браузером, скажем на
>https://gmail.com:443 ? если да - перевесьте sshd на этот порт.
>Если нет - вам определенно поможет http://www.nocrew.org/software/httptunnel.html
>
>но 50кб на сессию - это действительно проблема, отпишитесь если вы будете
>использовать httptunnel. используйте сжатие (ssh -C) чтобы экономить драгоценные байты.Я думаю что пойду через этот путь :) Вот еще нашел у себя в ссылках такой вот линк
http://dag.wieers.com/howto/ssh-http-tunneling/
Может комуто интересно будет
>Я думаю что пойду через этот путь :) Вот еще нашел у
>себя в ссылках такой вот линк
>http://dag.wieers.com/howto/ssh-http-tunneling/
>Может комуто интересно будетА поднять webmin на https и нестандартном порту, далее его родным telnet ?
>ssh _работает_ через httpS(именно httpS) прокси, если прокся поддерживает метод CONNECT.
>если там у вас всё так урезано, то можно предположить что метод
>CONNECT урезан тоже(я его первым делом урезаю, т.к. это дыра в
>безопасности). Тем не менее, метод коннект может быть разрешен у вас
>только на порт 443. вы можете зайти оттуда браузером, скажем на
>https://gmail.com:443 ? если да - перевесьте sshd на этот порт.
>Если нет - вам определенно поможет http://www.nocrew.org/software/httptunnel.html
>
>но 50кб на сессию - это действительно проблема, отпишитесь если вы будете
>использовать httptunnel. используйте сжатие (ssh -C) чтобы экономить драгоценные байты.Пока что просто перевесил на файрфоле порт форвардинг с 443 на родной ССШ, и через офисною проклю заработало. Правда есть опасения что такой метод довольно легко можно отличить от реального HTTPs траффика. Так ли это?
>Пока что просто перевесил на файрфоле порт форвардинг с 443 на родной
>ССШ, и через офисною проклю заработало. Правда есть опасения что такой
>метод довольно легко можно отличить от реального HTTPs траффика. Так ли
>это?не висите по ссш по полдня. сессии будут короче. а вообще, всё же по логам смотрится.
т.е. если мы в логах видим, что для данного хоста много трафика, или эти соединения частые, то может быть кто-то и решит проверить. а вообще у админов часто бывает мало времени и это вообще могут никогда не заметить, а если же у вас в фирме есть безопасник,к-ому деньги за такие обнаружения платят, то это всплывёт быстро.
что происходит в туннеле https, смотреть админ не может, на то он и httpS.(именно по этому https и опасен). тут можно доменное имя какое-то придумать для хоста, например webmoney-relay.mydomain.org. и сказать что у тебя типа "интернет-кошелек" установлен. ))