SSH при закрытых портах

Question

[Дмитрий]

На рабочем интернете закрыт 22 порт, следовательно невозможно просто так прицепиться по ssh к серверу. Вопрос — как это можно сделать красиво?
SSH на другой порт повесить нельзя. Прокси использовать нельзя (интернет получаем через локальный прокси).

Comments

[mark_ablov]

Порт закрыт в обе стороны?

[Дмитрий]

Да

Answer 1

[masterclass]

Необходим unix, который будет контролироваться вами и находиться в интернете. Запускаете на нем следующее:
ssh 127.0.0.1 -L 1.1.1.1:80:2.2.2.2:22, где:
1.1.1.1 — IP вашего сервера
2.2.2.2 — IP сервера, на который нужно попасть по условию задачи.

Я правда не уверен, что такое пройдет через прокси (нету возможности сейчас проверить), но при открытом NAT на dst-port 80 — работать будет 100%

Comments

[YourChief]

на порт 80 метод CONNECT запрещён по дефолту, только https. насчёт такого форвардинга ssh есть оговорка — нужно чтобы в sshd_config был прописан GatewayPorts yes, иначе sshd будет насильно биндить сокет не на 1.1.1.1, а на 127.0.0.1 и извне не достучаться

[masterclass]

Если уж и говорим про «по дефолту», то в sshd_config по умолчанию:
#GatewayPorts no
и слушает он все интерфейсы

Answer 2

[mark_ablov]

Back-connect обычно используется в таких случаях.
То есть пусть сервер сам цепляется к клиентской машине через порт который ему доступен.

Comments

[Дмитрий]

А можно какую-нибудь ссылку? Хорошо бы с примером как это делать.

[YourChief]

бэк-коннект к прокси?

Answer 3

[librarian]

Взять маленькую виртуалку, повесить на произвольный порт и ходить с неё? За 2-3 рубля в день можно в облаке взять каком нибудь.

Answer 4

[YourChief]

или используйте openvpn, или добавьте правило DNATа порта 443 на порт 22 и ломитесь через проксю HTTP CONNECTом на порт 443 вашего серва — это должно быть разрешено в проксе

Comments

[YourChief]

тогда остаётся только бесплатные публичные опенвпн-сервисы использовать. они в большинстве своём слушают 443 tcp порт (это https) и в проксе он пролезает внутри метода CONNECT. например

Answer 5

[rPman]

В общем случае — только установка исходящего VPN соединения от вашего закрытого сервера к другому — вашему открытому (у меня так локальная сеть работает, соединяя сильно разнесенные 4 компьютера, три из них на виндах).

Comments

[YourChief]

от вашего закрытого сервера к другому — вашему открытому
а какой из них может быть открытый, если там прокся порты режет?

Answer 6

[bdmalex]

Я бы посмотрел в сторону «port knocking», но по условиям непонятно, можно или нельзя его заюзать…

Comments

[YourChief]

по условиям понятно, что нельзя его использовать

Answer 7

[Riateche]

1) Пытаться настроить Socks proxy over HTTP. Там всё сильно зависит от того, как настроен ваш прокси (поддерживает ли метод connect, например). Если есть нормальный https, то погуглите «ssh over https», там тоже всё хорошо.

2) Поднять на сервере веб-интерфейс к ssh. Готовые скрипты существуют, настраивается просто. Но порт уже не пробросишь. Всё зависит от того, для чего вам нужен ssh.

Answer 8

[laQie]

Для таких вещей есть Bouncer