The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск SSF 3.0, инструментария для пробрасывания трафика через другой хост

25.11.2017 10:07

Доступен третий выпуск инструментария SSF (Secure Socket Funneling), предоставляющего средства для перенаправления трафика через другой хост. SSF позволяет выполнять такие операции как проброс TCP и UDP портов, создание туннелей с подключением через SOCKS, организация запуска команд на внешней системе и передача файлов между хостами. Поддерживается работа в Linux, macOS и Windows, для установки требуется минимум зависимостей.

SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN из-за сетевых ограничений или нужно организовать проброс UDP (например, VoIP или online-игры). SSF также может быть полезен когда необходимо организовать проброс трафика через систему на базе Windows. Код проекта написан на языке C++ и поставляется под лицензией MIT. Сборки подготовлены для Linux и Windows.

Особенности SSF:

  • Возможность проброса нескольких TCP и UDP портов через один туннель;
  • Использование TLS для шифрования трафика (в том числе можно камуфлировать туннель под Web);
  • Высокая производительность передачи файлов через шифрованный туннель (предоставляется похожая на scp команда ssfcp, обеспечивающая более высокую скорость работы);
  • Поддержка приёма трафика через локальный SOCKS-сервер или работа через SOCKS на удалённом хосте;
  • Использование на локальной системе утилиты ssf с похожим на ssh набором опций для проброса трафика (например, ssf -D 9000 для включения SOCKS). На удалённой стороне требуется выполнение процесса ssfd с привязкой к произвольному сетевому порту;
  • Поддержка динамического перенаправления трафика при помощи SOCKS не только от клиента к серверу (аналог опции -D в ssh), но и от сервера к клиенту (с SOCKS на сервере можно пробрасывать трафик через клиента);
  • Возможность многоступенчатого проброса, при котором для прохождения трафика выстраивается цепочка из нескольких транзитных хостов;
  • Простая реализация shell для Windows, Linux и macOS (требует отдельного включения);
  • Возможность создания туннеля при наличии выхода в Сеть только через соединение поверх SOCKS (v4, v5) или HTTP-прокси.


  1. Главная ссылка к новости (https://github.com/securesocke...)
  2. OpenNews: Релиз OpenSSH 7.6
  3. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  4. OpenNews: Релиз свободного безопасного цензуроустойчивого VPN-демона GoVPN 5.0
  5. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
  6. OpenNews: Обновление OpenVPN 2.4.4 с устранением уязвимости
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47628-ssh
Ключевые слова: ssh, tunnel, ssf, socks, proxy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (58) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iota77 (?), 10:45, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    годнота
     
  • 1.2, Аноним (-), 10:47, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Утилита %name%, когда %name2% недоступно :с
     
     
  • 2.3, Anon2 (?), 11:24, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    не сильно компетентен, но будет ли пакет ssh полнофункционально (с полным функционалом сабжа) работать, если его пытаться установить в хомяк, установка и работа при этом, естественно с ограниченными правами пользователя
     
     
  • 3.4, Аноним (-), 11:49, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Будет, почему нет.
     
  • 2.9, Аноним (-), 14:28, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > %name%
    > %
    > % !!!

    На MSDN!

     

  • 1.5, Аноним (-), 11:55, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    # apt-get install libssl1.0-dev libboost1.62 libboost-dev libkrb5-dev

    то есть чуть не весь возможный в принципе, опасный и вредный для нормального криптографического решения мусор в одном флаконе.

    но ssh им недостаточно моден, молодежен и кроссплатформенен.

     
     
  • 2.6, Аноним (-), 12:48, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поэтому мы бросаем носки в тени.
     
  • 2.7, Аноним (-), 13:15, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вы пьёте слишком мало смузи, коллега!
     
  • 2.8, Аноним (-), 14:14, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Обоснуй.
     
     
  • 3.17, Аноним (-), 18:20, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Обоснуй.

    Список CVE одного только openssl обоснует за троих. Тебе что больше нравится, heartbleed или пудели? А может, ты фанат аппаратного ускорения которое PRNG напрямую из интеловского проца тащит? Так что если там бэкдор - ты гарантированно залетаешь.

     
  • 2.11, Аноним (-), 15:26, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А Boost-то чем опасен?
     
     
  • 3.42, anonymous yet another (?), 23:20, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А Boost-то чем опасен?

    Смотря что потащили. Если сравнительно устоявшееся, то почему тогда не стандарт уже,
    если новомодное, то это во многом хипстерство и Александреску-подобно.

     
  • 2.22, gaga (ok), 00:08, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ниче что ssh тоже зависит от openssl? И вообще, какие есть альтернативы-то?
     
     
  • 3.23, Ergil (ok), 05:22, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    http://article.gmane.org/gmane.os.openbsd.cvs/130612

    — Больной, проснитесь, вы обгадились!
    — А я и не спал!

    Вот уже 3 года, как не зависит.

     
     
  • 4.24, angra (ok), 08:16, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В опенке? Вполне может быть, что там собирают без openssl
    Но вот в debian и rhel openssh-server собирают с ним, так что очень даже зависит.
     
     
  • 5.25, Ergil (ok), 08:20, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В опенке? Вполне может быть, что там собирают без openssl
    > Но вот в debian и rhel openssh-server собирают с ним, так что
    > очень даже зависит.

    Вопрос к мэйнтейнерам. Можно собрать без openssl(да, сейчас посмотрел у себя, собранно с зависимостью от libssl1.0.0)

     
  • 5.43, Аноним (-), 04:56, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты бы хоть посмотрел для чего там OpenSSL используется (hint: не для криптографии в протоколе SSH).
     
  • 5.47, SysA (?), 12:04, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В опенке? Вполне может быть, что там собирают без openssl
    > Но вот в debian и rhel openssh-server собирают с ним, так что
    > очень даже зависит.

    В Генте клиент не зависит:

    linpc ~ # ldd 'which ssh'
    linux-vdso.so.1 (0x00007ffc9a794000)
    libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
    libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
    libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
    libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
    libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
    /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)

    но сервер зависит:

    linpc ~ # ldd 'which sshd'
    ...
    libssl.so.1.0.0 => /usr/lib64/libssl.so.1.0.0 (0x00007f3be25d7000)
    ...

     
     
  • 6.50, EHLO (?), 12:22, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В Генте клиент не зависит:
    > linpc ~ # ldd 'which ssh'
    >  linux-vdso.so.1 (0x00007ffc9a794000)
    >  libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
    >  libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
    >  libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
    >  libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
    >  libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
    >  /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
    >  libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)

    /usr/lib64/libcrypto.so.1.0.0 это что в "Генте" ?

     
     
  • 7.52, SysA (?), 12:34, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    >> linpc ~ # ldd 'which ssh'
    >>  linux-vdso.so.1 (0x00007ffc9a794000)
    >>  libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
    >>  libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
    >>  libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
    >>  libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
    >>  libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
    >>  /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
    >>  libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
    > /usr/lib64/libcrypto.so.1.0.0 это что в "Генте" ?

    Упс, dev-libs/openssl-1.0.2m! :)

     
  • 3.35, нах (?), 19:42, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ниче что ssh тоже зависит от openssl?

    к счастию великому, он использует оттуда только криптопримитивы. Причем этой болезнью заболел на поздних стадиях развития. Ylonen обходился без всякого openssl.
    И если обойтись только поделками djb (которые, правда, не имеют подтверждений своей надежности из независимых источников, поэтому все упирается в репутацию одного человека), то можно и без него вовсе.

    > Вообще, какие есть альтернативы-то?

    альтернативы - чему? Для туннелинга трафика есть vpn'ы - от ipsec до причудливого govpn.
    Для remote shell - ssh2 протокол вполне себе ничего.
    Единственная доступная реализация - да, страдает массой болячек, но замены нет.

      

     
     
  • 4.44, . (?), 07:14, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Ylonen обходился без всякого openssl.

    А теперь все обходятся без Ylonen-а :)

    >ssh2 протокол вполне себе ничего. Единственная доступная реализация - да, страдает массой болячек, но замены нет.

    Тут как то был инсайд что лучший друг опесорца, вроде как всё же решились его влить в свою форточку, для начала как компонент повершела ... если сделают - считай что поляна зачищена :) Другого долго не будет.

     
     
  • 5.54, пох (?), 13:22, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тут как то был инсайд что лучший друг опесорца, вроде как всё
    > же решились его влить в свою форточку, для начала как компонент

    так они опенсорцный и возьмут, зачем им индусов-то лишний раз напрягать.
    Вместе с всей той кучей мусора, которую туда понатащили излишне самоуверенные и не в меру активные разработчики open-версии.

     
     
  • 6.66, _ (??), 18:28, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну это да, иначе смысла нет. Я к тому что если в форточке появится ssh\sshd - никаких других уже не появится :) И это надолго. Да и - алилуйя! :-)
     
  • 4.48, SysA (?), 12:07, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вообще, какие есть альтернативы-то?
    > альтернативы - чему? Для туннелинга трафика есть vpn'ы - от ipsec до
    > причудливого govpn.
    > Для remote shell - ssh2 протокол вполне себе ничего.

    Еще раз: "...SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN из-за  сетевых ограничений или нужно организовать проброс UDP..."


     
  • 2.33, phaoost (ok), 18:57, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ssh умеет слушать udp?
     
     
  • 3.62, fi (ok), 14:30, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    тут все проще - поднимаешь ppp повер ssh и направляешь туда любой трафик. Но конечно, если у тебя хватит привелегий.
     
     
  • 4.65, phaoost (ok), 15:33, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > тут все проще - поднимаешь ppp повер ssh и направляешь туда любой
    > трафик. Но конечно, если у тебя хватит привелегий.

    ppp поверх ssh это уже tcp туннель. как я понял, ssf умеет udp туннель

     
  • 2.46, SysA (?), 11:57, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > # apt-get install libssl1.0-dev libboost1.62 libboost-dev libkrb5-dev
    > то есть чуть не весь возможный в принципе, опасный и вредный для
    > нормального криптографического решения мусор в одном флаконе.
    > но ssh им недостаточно моден, молодежен и кроссплатформенен.

    Для тех, кто в танке:

    ...SSF рассчитан на работу в условиях, когда недоступен SSH...

     
     
  • 3.53, пох (?), 13:20, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для тех, кто в танке:

    от тех кто накрылся кастрюлькой и думает что в танке?

    > ...SSF рассчитан на работу в условиях, когда недоступен SSH...

    расскажите, что это за "условия" такие? Когда вам можно ставить всякий мусор на удаленной системе, но "недоступен ssh".
    Который обычно как раз наоборот, остается доступен, когда уже все остальное давно позаблокировали.

     
     
  • 4.55, SysA (?), 13:27, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Для тех, кто в танке:
    > от тех кто накрылся кастрюлькой и думает что в танке?
    >> ...SSF рассчитан на работу в условиях, когда недоступен SSH...
    > расскажите, что это за "условия" такие? Когда вам можно ставить всякий мусор
    > на удаленной системе, но "недоступен ssh".
    > Который обычно как раз наоборот, остается доступен, когда уже все остальное давно
    > позаблокировали.

    На совести автора - я лишь цитировал! :)

     

  • 1.10, Меломан1 (?), 14:33, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А публичных SSF серверов еще нет?
     
     
  • 2.51, SysA (?), 12:31, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А публичных SSF серверов еще нет?

    Тебе нетерпится поделиться своей инфой с Большим Братом и др.? :)

     

  • 1.15, mimocrocodile (?), 17:28, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чем оно лучше gost?
     
  • 1.18, Аноним (-), 18:30, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ворота в Интернет для любителей гонять онлайн-игрушки на работе.
     
  • 1.19, Аноним (-), 23:28, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    под фряшеньку тоже надо
     
     
  • 2.40, Аноним (-), 21:50, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не надо
     

  • 1.20, Аноним (20), 00:02, 26/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а VPN-over-DNS можно заблокировать ?
     
     
  • 2.21, gaga (ok), 00:06, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Просто скорость зарезать до нормальной для DNS, типа 5-10 запросов в секунду, бёрст 50-100, и этим впном сможет только столман пользоваться.
     
     
  • 3.27, Pofigist (?), 11:17, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем такие сложности? Ты можешь ходить ТОЛЬКО к DNS своего провайдера/работы и все.
     
     
  • 4.38, Аноним (-), 20:46, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вам бы почитать как dns работает.
     
     
  • 5.41, angra (ok), 23:12, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе лучше самому последовать своему совету. Обрати внимание на роль рекурсивных/кеширующих DNS серверов. Ну и загляни в свой resolv.conf, вдруг там тоже стоит dns сервер провайдера или гугла.
     
     
  • 6.45, Знаток (?), 09:51, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и загляни в свой resolv.conf, вдруг там тоже стоит dns сервер провайдера

    ... который вовсе не обязан быть рекурсивным. Сюрприз?

     
  • 6.67, Аноним (-), 20:20, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    там именно сервера прова и гугла, а в чем проблема? надо свой поднять?
     

  • 1.26, Нуб (?), 10:30, 26/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а зачем оно нужно, при наличии vpn или ssh?
     
     
  • 2.49, SysA (?), 12:08, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а зачем оно нужно, при наличии vpn или ssh?

    И еще раз: "...SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN..."

     
     
  • 3.58, Аноним (-), 13:49, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    т.е сабж нужен лишь как альтернативный способ обфусфакции трафика, не подпадающий под фильтры дпи для опенвпн и ssh? Как shadowsocks, короче
     
     
  • 4.60, пох (?), 14:12, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > т.е сабж нужен лишь как альтернативный способ обфусфакции трафика

    да нет там никакой обфускации - обычный tls. dpi прекрасно умеют его отличать - в том числе и от tls, используемого для well-known протоколов.

    > фильтры дпи для опенвпн и ssh? Как shadowsocks, короче

    и в нем тоже нет. Во всяком случае, в том, настоящем от настоящего китайца, а не в последующих клонах и доработках от неизвестно кого.

     

  • 1.28, Аноним (-), 12:10, 26/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем оно отличается от ShadowSocks?
     
     
  • 2.37, нах (?), 20:42, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем оно отличается от ShadowSocks?

    отсутствием плохой замены ssh в комплекте.

    Ну и тем, конечно, что за автором еще не пришла китайская полиция. Или пришла так быстро, что он не успел ничего мяукнуть.



     

  • 1.34, Аноним (-), 19:27, 26/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем оно отличается от ShadowSocks?
     
  • 1.56, Аноним (-), 13:27, 27/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней
     
     
  • 2.61, пох (?), 14:17, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней

    тоже нет ( в смысле, только пока неуловимый джо нахрен никому не сдался)
    слишком нетипичный для icmp траффик, могут даже без товарища майора начать блокировать или лимитировать, подозревая попытку dos-атаки.

    типичный траффик, который достаточно легко имитировать, сохраняя приличную полосу для самого канала - порнуха over ssl. Но это ж пока именно за ней и не пришли ;-)

     
     
  • 3.64, fi (ok), 14:43, 27/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней
    > тоже нет ( в смысле, только пока неуловимый джо нахрен никому не  сдался)  слишком нетипичный для icmp траффик,

    ну почему же, для управления бот сетью, где нужно только команды рассылать, вполне себе удобный инструмент

     
     
  • 4.68, пох (?), 13:11, 28/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    для ботов почему-то принято dns (и да, для управления сгодится и такой, который работает через рекурсивные у провайдера). Я как-то унаследовал хост от такого экземпляра, было занятно (правда, так и не придумал, что бы с ним такое сделать, там, сцуко, хорошее шифрование).
     

  • 1.69, Аноним (-), 04:42, 29/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Чем оно отличается от ShadowSocks?
    >> отсутствием плохой замены ssh в комплекте.
    >> Ну и тем, конечно, что за автором еще не пришла китайская полиция. Или пришла так быстро, что он не успел ничего мяукнуть.

    Можно как-то технично изложить? Я в самом деле хочу понять отличие, но в таком юморном изложении к сожалении не понимаю.

     
     
  • 2.70, Аноним (-), 03:38, 01/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно как-то технично изложить? Я в самом деле хочу понять отличие, но
    > в таком юморном изложении к сожалении не понимаю.

    Суть истории: жил был китаец ClowWindy. И написал пару софтин которые обходили великий китайский фаер. Обходили хорошо. У полицаев стал дымиться стул. Они пришли на гитхаб и потребовали выпилить репы. Гитхаб их в общем то выпилил, но народ со всей планеты в едином порыве сделал более 9000 форков.

    А так неплохие комплекты софта для показа среднего пальца сетевым тиранам. Даже великий китайский фаер обходят, а это одна из самых злобных и навороченных систем цензурирования сетевого трафика на планете.

     

  • 1.71, Аноним (-), 21:15, 02/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да эту историю давно знаю, потому что сам пользуюсь ShadowSocks.
    Но на вопрос они - SSF и SS - отличаются друг от друга, вы к сожалению не ответили.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру