Comments on: Tunnels TCP via SSH, putty etc

By: TIWI

TIWI — Mon, 21 Jun 2010 08:04:58 +0000

un grand merci pour le tuto et les derniers commentaires

By: capic

capic — Thu, 18 Feb 2010 09:34:11 +0000

Salut,
voil� j’ai enfin r�ussi en utilisant la m�thode de ZR, j’ai install� ntlmap (http://ntlmaps.sourceforge.net/), j’ai configur� le fichier server.cfg en y mettant
PARENT_PROXY => l’adresse du proxy de la boite
PARENT_PROXY_PORT => le port du proxy de la boite
NT_DOMAIN => le domaine de la boite (ce qu’il ya a gauche du “\” pour l’autentification)
USER => le nom d’utilisateur (ce qu’il ya � droite du “\” pour l’authentification)
Ensuite dans putty, dans la partie proxy :
proxy type => HTTP
proxy hostname => 127.0.0.1
port => 5865
telnet command => connect %host %port\n
Il faut d’abord lancer ntlmap avec le .bat et ensuite utiliser putty

By: ZR

ZR — Wed, 17 Feb 2010 17:30:44 +0000

Salut,

finalement, j’ai r�ussi � faire avec le proxy ISA de ma bo�te.
J’ai install� un serveur ntlmap sur ma machine (l�ger), et je l’ai configur� en rensiegnant le domaine, mon nom d’user, etc.
Du coup, je lance ntlmap, �a se met sur un port particulier, et je configure mon navigateur pour qu’il utilise le proxy ntlmap plut�t que celui de ma bo�te. Apr�s, si j’ai bien compris, c’est le proxy ntlmap qui fait le lien avec le vrai proxy, etc.
R�sultat, j’ai maintenant Gmail au boulot, et j’ai pu d�sactiver buzz sans soucis…

A+

By: michauko

michauko — Wed, 17 Feb 2010 14:44:28 +0000

ok
Je vois pas pourquoi �a voudrait pas relayer vers du 443, un truc proche du https, pcqu’il tourne sur le 80 O_o.
Par contre, sait-on jamais, y’a ptet une super fonction qui voit que le soit-disant trafic HTTPS s’av�re �tre du SSH. Ca peut se faire (d�j� en voyant la r�ponse standard du serveur SSH), mais c’est couteux. A ma connaissance, seules quelques appliances couteuses font �a.

sinon tenter avec stunnel, l� au moins c’est vraiment du SSL. On peut m�me le configurer pour qu’il d�tecte qu’on veut parler en SSH ou en HTTPS. De sorte que si c’est un outil qui cherche � voir si c’est pas un serveur SSH, il r�ponde par une vraie page HTTPS.
Un ami a fait �a, j’ai pas eu le temps et surtout pas le besoin, donc j’ai pas fait d’article

By: capic

capic — Wed, 17 Feb 2010 14:37:41 +0000

le proxy �coute bien sur le port 80
configuration de putty le ssh est bien sur le 443, mon serveur ssh est configur� pour �couter � la fois sur le 22 et sur le 443, redirection du port 443 dans mon routeur sur le pc qui a le serveur

By: michauko

michauko — Wed, 17 Feb 2010 14:32:19 +0000

hop hop hop
- soit ton SSH �coute sur le 80, et l� c’est mal. Faut au moins “que �a ressemble � du https, disons SSL”, donc faire �couter (ou rediriger) ton 443 distant vers 22
- soit tu me dis que le proxy de ta boite �coute sur le port 80 et on s’en fout royalement car c’est juste le port pour contacter le proxy. Ca pourrait �tre 12000. Souvent, c’est 3128 (squid)

By: capic

capic — Wed, 17 Feb 2010 13:43:42 +0000

j’ai test� avec proxychecker, et il me semble qu’il dit que le proxy ne laisse pas passer le SSL par le port 80

By: michauko

michauko — Wed, 17 Feb 2010 13:06:06 +0000

‘sais pas
J’avais eu une fois un problème avec ce proxy, mais c’était une vieille version de merde qui gérait mal la conversation, pour avoir sniffé l’échange et comparé
Par contre, un user type DOM\usr ça doit passer pareil je pense

By: ZR

ZR — Wed, 17 Feb 2010 12:59:35 +0000

J’ai le m�me probl�me au boulot, avec le proxy ISA de Microsoft.
J’ai essay� un peu toutes les cha�nes trouv�es, �a ne marche pas non plus.

J’ai un nom d’utilisateur sur un domaine, ie mon login est de type DOMAIN\nom
Est-ce qu’il faut faire quelque chose de sp�cial dans ces cas-l� ?

By: capic

capic — Mon, 15 Feb 2010 12:55:00 +0000

oui on doit rentr� un mot de passe, c’est ce que j’ai fait dans putty mais il ne veut toujours pas, je vais continuer � chercher de mon c�t�, si jamais quelqu’un � une solution …

By: michauko

michauko — Mon, 15 Feb 2010 12:52:17 +0000

Je suppose qu’au premier lancement d’un navigateur, au premier accès web de la journée, il vous faut vous authentifier sur le proxy avec un login et passwd.
Dans ce cas, il faut renseigner les champs adéquats dans putty

By: capic

capic — Mon, 15 Feb 2010 11:06:48 +0000

salut,
moi j’ai un petit soucis j’obtiens une erreur de connexion au proxy avec putty
Proxy error: 407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied. )
Si vous avez une id�e …
Merci

By: michauko

michauko — Thu, 28 Jan 2010 09:44:10 +0000

j’ai jamais eu besoin de changer ces 2 options
je parlais juste du “secondes between keepalives (0 to turn off)
Tu mets 60 et vois si �a le fait
enfin du moment que tu trouves le bon r�glage

By: Mimoza

Mimoza — Thu, 28 Jan 2010 09:33:23 +0000

En effet cette option � l’aire de faire son office.
Pour info elle se trouve dans “Connection” ou l’on peut mettre le nombre de seconde enter chaque paquet. Il y a deux autres option aussi
“Diseable Nagle’s algorithm (TCP_NODELAY option)”
“Enable TCP keepalives (SO_KEEPALIVE option”
La premi�re est coch�e par d�faut, j’ai coch�e la deuxi�me au cas o�.

By: michauko

michauko — Tue, 26 Jan 2010 13:57:30 +0000

Salut, si j’ai bien suivi, je dirais : est-ce que l’option genre “keepalive” dans putty, qui permet de balancer un paquet toutes les “x” secondes, ne serait pas une aide ?

By: Mimoza

Mimoza — Tue, 26 Jan 2010 13:46:09 +0000

Salut
Petite question. Ici (au taff) ils ont un filtre actif pour le web (WebWasher), CAD qu’il a une liste noir de site interdit et une liste “grise” qui demande si l’on veut vraiment acceder au site. Le truc c’est que m�me si l’on dit “OUI” une fois, au bout de 5 minutes d’inactivit�e PAF il le redemande. Et donc tu imagine bien ce qu’il se passe de la connexion SSH … PAF aussi
La seule “parade” que j’ai trouv� pour l’instant est d’avoir un navigateur ouvert et de faire rafraichir la page toute les 4 minutes (soit dans le code de la page soit par un plugin FF) … mais si tu as une autre id�e je suis preneur

By: 20100

20100 — Fri, 19 Jun 2009 07:15:55 +0000

salut,
moi j’ai une erreur “proxy error: 403 OK”
Que faire ? merci.

By: michauko

michauko — Thu, 28 May 2009 15:56:38 +0000

dans tous les cas, quelqu’un qui lit les logs verra un nom ou une IP (c’est en g�n�ral plus louche d’ailleurs) associ�e � une connx CONNECT sur 443
Si c’est une IP (dyndns ou non), on pourra tjs connaitre l’ip associ�e
Ca change rien

Par contre, quelques fois, les IP tap�es en brut ne passent pas dans les proxy car le navigateur peut utiliser un fichier .PAC qui raisonne uniquement par nom, pas par IP

Bref, �a changera pas grand chose, pour faire simple

By: ben

ben — Thu, 28 May 2009 15:51:44 +0000

Slt michauko,

Tu penses que si j’utilise pas comme toi le dyndns et plutot mon adresse IP ,on remonter chez moi et me griller?

By: michauko

michauko — Mon, 16 Mar 2009 17:43:04 +0000

ok j’ai mal compris, je croyais qu’on parlait d’un proxy d’une entreprise qui actuellement tol�rait le proxying transparent pour le https (ce qui n’est pas possible, je n’ai plus l’explication simple en t�te, si qq1 a envie, n’h�sitez pas)