[SSH] scp avec une DMZ
vincent
-
vincent -
vincent -
Bonjour, j'essaye de configurer une connexion SSH de sorte que un utilisateur interne puisse se connecter a un serveur SSH externe via une DMZ, afin de controler les options utilisées par le client (en particulier interdire le forwarding). Cela donne :
ssh ssh
client interne<=========>DMZ<========>seveur sur internet
J'ai un script qui est executé à chaque connexion sur la DMZ par l'option 'command=' dans authorized_keys2 qui vérifie que la commande passée par le client n'utilise pas des options interdites (nortament le forwarding).
Comment puis-je faire pour que ce script permette d'effectuer de maniere transparente un scp entre le client et le serveur ? même question avec un sftp.
Je suis pas sûr d'avoir été très clair, n'hesitez pas a me poser des question si vous voyez pas où je veux en venir. merci
ssh ssh
client interne<=========>DMZ<========>seveur sur internet
J'ai un script qui est executé à chaque connexion sur la DMZ par l'option 'command=' dans authorized_keys2 qui vérifie que la commande passée par le client n'utilise pas des options interdites (nortament le forwarding).
Comment puis-je faire pour que ce script permette d'effectuer de maniere transparente un scp entre le client et le serveur ? même question avec un sftp.
Je suis pas sûr d'avoir été très clair, n'hesitez pas a me poser des question si vous voyez pas où je veux en venir. merci
A voir également:
- Dmz ssh
- Ssh download - Télécharger - Divers Web & Internet
- Bbox dmz - Forum Bbox Bouygues
- Dmz livebox - Forum Mail
- Access denied ssh putty ✓ - Forum Ubuntu
- Dmz freebox ✓ - Forum Freebox
2 réponses
Pour ssh tu peux faire un tunnel ssh pour ne pas faire d'étape par la DMZ.
Exemple : ici lunix2 correspond à la DMZ. pc111-29 veux contacter mandorallen.elsa.iiens.net.
Pour ftp pense qu'il faut regarder du côté de NAT et autres ip forwarding (ou proxy).
Exemple : ici lunix2 correspond à la DMZ. pc111-29 veux contacter mandorallen.elsa.iiens.net.
CONSOLE 1 (mando@pc111-29) (~) $ ssh -L 6969:192.168.3.69:22 lunix2 Password: Linux lunix2 2.6.9 #1 SMP Mon Dec 13 10:08:48 CET 2004 i686 GNU/Linux The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. (mando@lunix2) (~) $ ssh mando@mandorallen.elsa.iiens.net Password: CONSOLE 2 (mando@pc111-29) (~) $ ssh -p 6969 -XC mando@localhost Password: (mando@mandorallen) (~) $ firefox
Pour ftp pense qu'il faut regarder du côté de NAT et autres ip forwarding (ou proxy).
En effet ta réponse marche mais ne fait pas ce que je veux. J'ai besion d'un controle total sur les options passées par le client SSH ce qui n'est pas le cas ici. Pour que tu (enfin pas que toi tous ceux qui lisent ce message aussi) comprennes mieux je vais expliquer ce que j'ai déjà fait.
Sur le serveur SSH de la DMZ j'ai forcé l'authentification par clé publique et j'ai rajouté l'option <<command="mon_script">> de manière à ce que toute connection SSH sur la DMZ execute automatiquement mon_script, et dans ce script j'ai vérifié que $SSH_ORIGINAL_COMMAND soit soit une connexion ssh, scp ou sftp et que les options passées ne contiennent pas de forwarding (ou ne permettent pas d'en faire).
Donc si je reprend les nom des machines que tu as donné cela fait :
pc111-29> ssh login@lunix2 ssh utilisateur@mandorallen.elsa.iiens.net
et donc apres avoir rentré la premiere passphrase le script se lance et verifie que la commande <<ssh utilisateur@mandorallen.elsa.iiens.net>> ne contient pas d'option de forwarding et si c'est le cas la lance. Je rentre alors la passphrase pour la connexion sur le serveur SSH sur le réseau externe et je suis loggué dessus.
Je m'assure ainsi que le client ne pourra pas forwarder de port entre la DMZ et le réseau externe.
Donc mon problème maintenant c'est de faire la même chose pour scp et sftp de manière à ce que la copie se fasse de manière transparente entre pc111-29 et mandorallen.elsa.iiens.net.
j'espère avoir été un peu plus clair... merci de me répondre :)