\nEn relisant l’article, je vois que c’\u00e9tait vraiment vulgaris\u00e9 pour \u00eatre accessible au plus grand nombre, pardonnez donc les impr\u00e9cisions techniques et le baratin simplifi\u00e9 – MERCI<\/strong><\/em>
\n
—
\nJ’ai \u00e9crit ce document pour 2 raisons. La premi\u00e8re est que j’en ai marre d’expliquer sans cesse \u00e0 mes amis cette m\u00e9thode, la deuxi\u00e8me est que c’est vraiment une m\u00e9thode tr\u00e8s pratique, puissante et qui n’a que quelques limitations (et encore \u2013 voir chapitre \u00e0 venir : VPN sur SSH).<\/p>\n
1. Avez-vous besoin de SSH au boulot ?<\/h1>\n
Vous \u00eates 8h par jour au boulot et le proxy charg\u00e9 de la s\u00e9curit\u00e9 de l’entreprise se charge surtout de vous bloquer quelques sites web et quelques protocoles r\u00e9seaux \u00e0 priori non professionnels. En gros, il vous emmerde \u00e0 longueur de temps et vous aimeriez pouvoir faire les choses suivantes depuis votre boulot :<\/p>\n
- \n
- Lire vos mails en POP, IMAP (par un client mail classique plut\u00f4t que via le web et l’interface nullissime de votre fournisseur).<\/li>\n
- Utiliser Jabber, ICQ, MSN (ou autre protocole) depuis le boulot pour pouvoir rester en contact avec belle-maman.<\/li>\n
- Prendre le contr\u00f4le \u00e0 distance (VNC, pcAnywhere etc) de votre PC perso avec sa ligne ADSL pour faire je ne sais quoi. D’autant plus que des outils comme VNC ne g\u00e8rent tout simplement PAS les proxys.<\/li>\n
- Suivre les r\u00e9sultats du football ou consulter un site d’actualit\u00e9s \u2013 en g\u00e9n\u00e9ral le proxy bloque largement les sites foot, jeux, facebook et bien d’autres.<\/li>\n
- et plein d’autres choses encore…<\/li>\n<\/ul>\n
Dans ce document, je pr\u00e9senterai le concept ainsi que la mise en oeuvre de la solution (sous Linux ou Windows).<\/p>\n
2. Principe g\u00e9n\u00e9ral<\/h1>\n
SSH est un outil qui permet de se connecter \u00e0 une machine distante en mode texte. Sous Linux, on acc\u00e8de \u00e0 un shell, sous Windows, on pourra voir \u00e7a comme l’acc\u00e8s \u00e0 une fen\u00eatre DOS, \u00e0 priori pas tr\u00e8s utile, certes. Ca ressemble donc de loin \u00e0 une connexion telnet, sauf que c’est laaaaargement plus s\u00e9curis\u00e9 (je n’en d\u00e9battrai par ici mais vous pouvez me croire sur parole) et beaucoup plus puissant.
\nSSH permet notamment de faire du transfert de fichiers (SFTP) et surtout, des tunnels de communication, dans les deux sens (vous comprendrez plus tard). Un tunnel va servir \u00e0 encapsuler (capturer) des flux r\u00e9seaux entre le SSH client (votre PC en entreprise avec acc\u00e8s web restreints qu’on veut contourner) et votre serveur SSH (votre PC \u00e0 la maison avec ADSL branch\u00e9 24\/24).<\/p>\nTout se r\u00e9sume \u00e0 \u00e7a : le client SSH \u00e9tablit une connexion avec le serveur SSH \u00e0 travers le proxy en utilisant une connexion autoris\u00e9e par le proxy (m\u00e9thode CONNECT vers un port autoris\u00e9). Ensuite, gr\u00e2ce \u00e0 \u00e7a, des tunnels vous permettront de faire passer presque n’importe quoi \u00e0 travers le proxy (voir chapitre 4 sur les limitations de ce syst\u00e8me).<\/p>\n
Le client SSH que j’utilise est putty (premier lien sur google), c’est un client libre, gratuit etc, qui permet de faire du telnet, du ssh et surtout d’utiliser les fonctionnalit\u00e9s de ssh, les tunnels par exemple. Il sait aussi se connecter \u00e0 travers un proxy.<\/p>\n
3. Mise en place<\/h1>\n
3.1. C\u00f4t\u00e9 serveur SSH<\/h2>\n
Chez vous, il faut d’abord installer un serveur SSH.<\/p>\n
3.1.1. Installation<\/h3>\n
Sous Linux, vous trouverez forcemment un paquet correspondant \u00e0 votre distribution. Exemple sous Debian, tapez \u00ab apt-get install ssh \u00bb et \u00e7a devrait le faire.<\/p>\n
Sous Windows, c’est moins simple. Je ne connais pas d’impl\u00e9mentation libre directement fonctionnelle sous Windows. Et comme vous n’allez quand m\u00eame pas payer la version payante de www.ssh.com, vous devrez utiliser www.cygwin.com pour installer un \u00ab environnement Linux dans votre Windows \u00bb. Cet environnement comprend ensuite la plupart des outils Linux, dont OpenSSH bien s\u00fbr. Deux options (au moins) s’offrent \u00e0 vous :<\/p>\n
- \n
- Installer cygwin de mani\u00e8re classique avec ce qu’il faut, notamment le paquet ssh (il vous faudra lire un peu de doc \u00e0 priori).<\/li>\n
- Utiliser le projet sshwindows qui propose un programme d’installation global comprenant un cygwin minimaliste et sshd associ\u00e9. Je n’ai pas test\u00e9 personnellement cette solution.<\/li>\n<\/ul>\n
Pr\u00e9sentation barbare de l’installation de cygwin : dans les grandes lignes, vous t\u00e9l\u00e9chargez le setup.exe puis vous choisissez un miroir de t\u00e9l\u00e9chargement, vous installez le minimum vital (par d\u00e9faut je crois) et v\u00e9rifiez bien que le paquet ssh est inclus. Au final, vous obtenez une sorte de raccourci fa\u00e7on \u00ab fen\u00eatre DOS \u00bb, sauf que vous \u00eates dans un environnement Linux et disposez de sa panoplie d’outils en ligne de commande et m\u00eame graphique si vous cherchez bien (pour peu que vous ayez install\u00e9 les paquets qu’il faut).<\/p>\n
3.1.2. G\u00e9n\u00e9ration des clefs<\/h3>\n
Si vous ne connaissez pas le principe d’authentification par clefs de SSH, sachez juste que vous devez g\u00e9n\u00e9rer une paire de clefs crypt\u00e9es utilis\u00e9es pour la communication entre le serveur et les clients. M\u00eame si dans ce document je ne vais pas d\u00e9tailler l’authentification par clefs, mais juste par mot de passe, cette paire de clefs est n\u00e9cessaire pour l’identification du serveur et pour les premi\u00e8res \u00e9tapes de l’\u00e9tablissement de la connexion (par mot de passe).
\nSi vous avez install\u00e9 SSH sous Debian, le programme d’installation g\u00e9n\u00e8re automatiquiment les clefs, pour les solutions, je ne sais pas. Sous cygwin par exemple, vous devrez donc g\u00e9n\u00e9rer ces clefs via la commande \u00ab ssh-keygen -t dsa \u00bb. Vous pourrez voir ces clefs dans \u00ab \/etc\/ssh \u00bb, les fichiers sont ssh_host_dsa_key*.<\/p>\n3.1.3. Etape suppl\u00e9mentaire pour Cygwin<\/h3>\n
Un d\u00e9tail sous cygwin (encoooooore), il faut que vous lisiez les docs pour savoir comment lancer le serveur SSH en tant que service Windows plut\u00f4t qu’\u00e0 la main le matin en partant au boulot… (cherchez des infos sur le programme cygrunsrv.exe). Pour la version \u00ab packag\u00e9e \u00bb par le projet sshwindows, je ne sais pas, lisez la doc.<\/p>\n
Sous Linux, ce sera forcemment fait automatiquement.<\/p>\n
3.1.4. Changement du port du serveur SSH<\/h3>\n
SSH tourne sur le port 22 par d\u00e9faut et vous pouvez \u00eatre quasimment s\u00fbr que le proxy du boulot bloque ce port. Donc vous ne pourrez pas atteindre votre serveur depuis chez vous. Ajoutez donc dans le fichier de configuration de sshd (\/etc\/ssh\/sshd_config) une ligne \u00ab Port 443 \u00bb apr\u00e8s la ligne \u00ab Port 22 \u00bb ou remplacez cette derni\u00e8re. Red\u00e9marrez le service. On choisit le port 443 car c’est le port https par d\u00e9faut et le proxy du boulot tol\u00e8rera forcemment ce port (au pire, prenez le port 80, http). De plus, https et SSH pr\u00e9sentent des similitudes (la couche SSL) et donc utiliser le port 443 a l’avantage d’\u00eatre plus discret (voir chapitre 4.2.).
\nSi votre firewall le tol\u00e8re, vous pouvez aussi faire un forward du port 443 vers le 22 en ne laissant que la ligne \u00ab Port 22 \u00bb dans sshd_config.<\/p>\n3.1.5. Votre firewall<\/h3>\n
Enfin, vous avez certainement chez vous un firewall, n’oubliez pas d’ouvrir le port 443 ou 22 (voir chapitre pr\u00e9c\u00e9dent).
\nVous avez tr\u00e8s probablement aussi une adresse IP dynamique et donc il faut que vous vous trouviez un nom de domaine (essayez www.dyndns.org, ils ont un service gratuit et vous aurez un nom du style chezmoi.dyndns.org mis \u00e0 jour \u00e0 chaque reconnexion de votre ADSL). Sinon, vous devrez r\u00e9cup\u00e9rer votre adresse IP tous les matins et priez pour que l’ADSL ne tombe pas auquel cas vous risqueriez de changer d’IP.<\/p>\nJe suppose maintenant que votre serveur est lanc\u00e9, accessible depuis l’ext\u00e9rieur et qu’il fonctionne correctement.<\/p>\n
3.2. C\u00f4t\u00e9 client SSH<\/h2>\n
3.2.1. R\u00e9cup\u00e9ration des param\u00e8tres proxy<\/h3>\n
Pour les utilisateurs d’Internet Explorer, allez dans Outils -> Options Internet -> Connexions -> Param\u00e8tres r\u00e9seaux. Vous aurez 2 possibilit\u00e9s, soit l’adresse et le port sont directement \u00e9crit :<\/p>\n
![\"tunnel1\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png\" "\\"tunnel1\\"")
<\/p>\nSoit votre entreprise utilise un script d’autoconfiguration :<\/p>\n
![\"tunnel2\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel2.png\" "\\"tunnel2\\"")
<\/p>\nDans ce dernier cas, t\u00e9l\u00e9chargez ce script en recopiant l’adresse dans votre navigateur. Ouvrez-le, c’est un fichier texte. C’est simple \u00e0 comprendre et en g\u00e9n\u00e9ral, les derni\u00e8res lignes vous donnent le proxy qui permet d’atteindre les sites ext\u00e9rieurs (Internet). La fin ressemble \u00e0 quelque chose comme \u00ab PROXY host:port \u00bb.<\/p>\n
Si vous utilisez un autre navigateur (je l’esp\u00e8re pour vous ;), vous saurez s\u00fbrement o\u00f9 trouver ces informations.<\/p>\n
3.2.2. Installation de putty (client SSH)<\/h3>\n
T\u00e9l\u00e9chargez putty. Il n’y a pas d’installation, pas besoin d’\u00eatre admin de son poste. Vous n’avez besoin que de putty.exe sinon prenez le zip qui contient tous les binaires. Le param\u00e9trage se fait comme suit :
\n![\"tunnel3\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel3.png\" "\\"tunnel3\\"")
<\/p>\nVous saisissez dans le menu \u00ab Session \u00bb l’adresse du PC chez vous (IP ou DNS), pr\u00e9cisez le protocole SSH et modifiez le port o\u00f9 tourne le serveur SSH (443 \u00e0 priori \u2013 voir chapitres pr\u00e9c\u00e9dents).<\/p>\n
![\"tunnel4\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel4.png\" "\\"tunnel4\\"")
<\/p>\nDans le menu \u00ab Connection \u00bb, activez l’envoi de paquets vides r\u00e9guliers, toutes les 10 secondes par exemple. La connexion SSH se faisant via la m\u00e9thode CONNECT (comme pour du https), le proxy risque fort de la couper r\u00e9guli\u00e8rement si aucun trafic n’est g\u00e9n\u00e9r\u00e9.
\n![\"tunnel5\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel5.png\" "\\"tunnel5\\"")
<\/p>\nDans le menu \u00ab Proxy \u00bb, vous indiquez le type de proxy, \u00e0 priori HTTP, son adresse, son port et l’utilisateur\/mot de passe si besoin. La ligne \u00ab telnet command \u00bb repr\u00e9sente en gros le d\u00e9but de la communication entre putty et le proxy pour permettre la connexion au serveur distant (le PC chez vous). Tentez la ligne suivante : \u00ab connect %host %port HTTP\/1.1\\nHost: %host \u00bb si la ligne par d\u00e9faut ne fonctionne pas.<\/p>\n
![\"tunnel6\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel6.png\" "\\"tunnel6\\"")
<\/p>\nEnfin, dans le menu \u00ab SSH \u00bb, vous pr\u00e9cisez que vous utilisez le protocole en version 2 et activez la compression \u2013 c’est toujours \u00e7a de gagn\u00e9.<\/p>\n
Retournez dans le menu \u00ab Session \u00bb, donnez un nom \u00e0 votre session et faites \u00ab Save \u00bb \u00e0 nouveau. Puis \u00ab Open \u00bb.<\/p>\n
3.2.3. Le moment de v\u00e9rit\u00e9<\/h3>\n
Faites \u00ab Open \u00bb, si tout va bien, vous obtiendrez un \u00e9cran du genre :
\n![\"tunnel7\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel7.png\" "\\"tunnel7\\"")
<\/p>\nConnectez vous et \u00e7a roule. Dans les autres cas, v\u00e9rifiez bien les informations saisies et \u00e9ventuellement changez le type de proxy. Parmi les 25 entreprises que j’ai pu visiter (grandes multinationales comprises), seules 2 ont refus\u00e9 cette connexion, la premi\u00e8re car le proxy \u00e9tait un logiciel merdico-archa\u00efque de Microsoft qui avait d\u00e9j\u00e0 du mal \u00e0 fonctionner normalement avec IE, la deuxi\u00e8me car le proxy \u00e9tait bugg\u00e9 et avait l’air de ne pas respecter le protocole \u00ab normal \u00bb entre putty et le serveur ssh (d’apr\u00e8s les traces que j’ai analys\u00e9es, le serveur SSH \u00e9tait atteint puis tout partait n’importe comment).<\/p>\n
A ce niveau l\u00e0, si la connexion est \u00e9tablie et que vous pouvez acc\u00e9der \u00e0 votre machine, c’est banco, vous pourrez \u00ab tuyauter \u00bb n’importe quoi via SSH \ud83d\ude42<\/p>\n
3.3. Les tunnels<\/h2>\n
3.3.1. Cr\u00e9er un port mapping<\/h3>\n
Dans le menu \u00ab Tunnels \u00bb, cr\u00e9ez un tunnel vers vos serveurs de messagerie (ATTENTION, lisez le chapitre 4.1.3 \u00e0 propos du forward de messagerie) :<\/p>\n
![\"tunnel8\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel8.png\" "\\"tunnel8\\"")
<\/p>\nCette fois-ci, lorsque la fen\u00eatre putty sera ouverte et que vous serez sign\u00e9 sur le serveur SSH, il y aura eu cr\u00e9ation d’un port mapping du port local 10110 du poste client vers le port 110 du serveur POP de votre provider (le tout via le relai SSH ;). Idem pour les ports 10025\/smtp:25. J’ai choisi des num\u00e9ros de ports locaux (10110 et 10025) diff\u00e9rents des vrais ports notamment pour la compr\u00e9hension. Rien (ou presque) ne vous emp\u00eacherait de mapper les port 25 et 110 vers les ports 25 et 110 des serveurs POP et SMTP de monprovider.com.<\/p>\n
Ca veut dire que si un programme de messagerie (mozilla, thunderbird, outlook express, lotus notes etc) s’adresse \u00e0 votre propre machine (localhost) sur le port 10025, c’est bien le serveur SMTP de monprovider.com:25 qui r\u00e9pondra. Idem pour le port 10110\/110, c’est le serveur POP qui r\u00e9pondra. A partir de l\u00e0, configurez votre client mail en indiquant que les serveurs POP et SMTP de monprovider.com sont respectivement localhost (sur port 10110) et localhost (sur port 10025).
\nLorsque le client mail fera une requ\u00eate, c’est putty qui interceptera la communication et dira au serveur d’effectuer la requ\u00eate \u00e0 partir de l’autre bout du tunnel vers le serveur:port pr\u00e9cis\u00e9. Et voil\u00e0 ! (j’esp\u00e8re que c’est clair \ud83d\ude09<\/p>\nAttention : v\u00e9rifiez bien que votre client mail n’utilise aucun proxy pour les connexions locales ! (exemple : \u00ab outlook express \u00bb utilise la configuration de IE, veillez bien \u00e0 cocher dans IE la case qui pr\u00e9cise de ne \u00ab pas utiliser de proxy pour les connexions locales \u00bb, \u00e7a devrait \u00eatre fait par d\u00e9faut).<\/p>\n
Avec un beau sch\u00e9ma, \u00e7a donne \u00e7a :
\n![\"tunnel9\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel9.png\" "\\"tunnel9\\"")
\nMaintenant que vous savez faire \u00e7a, vous pouvez mapper n’importe quoi et vous coimprendrez rapidement que le port mapping n’est pas la solution pour tous les probl\u00e8mes. Exemple, si vous voulez faire de l’IRC, le serveur que vous joindrez ne sera pas toujours le m\u00eame suivant les r\u00e9seaux que vous voulez utiliser.<\/p>\n3.3.2. Tunnel dynamique (pour ICQ par exemple)<\/h3>\n
La limitation des port mapping appara\u00eet rapidement car il faut d\u00e9finir absolument toutes les connexions dont vous avez besoin, ce qui peut \u00eatre tr\u00e8s lourd. Imaginez que vous vouliez mapper certains sites web interdits, comme www.pleindetrucsinterdits.com. Vous n’avez qu’\u00e0 cr\u00e9er un port mapping du style \u00ab localhost:12345 -> www.pleindetrucsinterdits.com:80 \u00bb. Ca fonctionne \u2013 pas dans tous les cas \u00e0 cause des \u00ab virtual hosts \u00bb (Merci Toine) – mais il ne faut pas avoir 50 sites \u00e0 mapper sinon c’est l’enfer.<\/p>\n
Une autre limitation est que vous ne pouvez tout simplement pas de cette mani\u00e8re vous connecter \u00e0 certains services comme ICQ par exemple : en effet, vous pourriez faire un port mapping vers le serveur d’authentification login.icq.com:5190 par exemple, mais le reste de la communication ne se fera pas car il y a ensuite tout un tas de ports dynamiques allou\u00e9s qui entrent en jeu. Impossible donc.<\/p>\n
La solution est le mapping dynamique. En gros, vous cr\u00e9ez un port d’\u00e9coute (port 1080 dans la suite du texte) qui se charge de prendre toute trame r\u00e9seau qui rentre telle quelle et de la \u00ab faire ex\u00e9cuter \u00bb depuis l’autre bout du tunnel. Ca ressemble \u00e0 un proxy n’est-ce pas ? En effet, c’est bien un service que l’on utilise pour contacter n’importe quel site\/port inaccessible depuis le r\u00e9seau o\u00f9 l’on est. C’est pas beau \u00e7a ?
\nCa veut notamment dire que dans l’application qui doit utiliser ce \u00ab proxy \u00bb, vous devez pr\u00e9ciser que le nouveau proxy est localhost:1080 et non pas le proxy de l’entreprise.<\/p>\nDans putty, cr\u00e9ez un tunnel \u00ab Dynamic \u00bb sur le port 1080 par exemple :<\/p>\n
![\"tunnel10\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel10.png\" "\\"tunnel10\\"")
<\/p>\nCa donne \u00e7a :<\/p>\n
![\"tunnel11\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel11.png\" "\\"tunnel11\\"")
<\/p>\nEt globalement, on peut donc sch\u00e9matiser \u00e7a comme \u00e7a :<\/p>\n
![\"tunnel12\"](\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel12.png\" "\\"tunnel12\\"")
<\/p>\nATTENTION : une fois ce syst\u00e8me mis en place, n’oubliez pas de dire \u00e0 l’application concern\u00e9e que le proxy pour sortir n’est plus le proxy de l’entreprise mais le \u00ab proxy \u00bb de type SOCKS 4 (si vous avez besoin de le pr\u00e9ciser) situ\u00e9 sur localhost, port 1080 ! Pig\u00e9 ?<\/p>\n
(MAJ 2009)<\/strong>
\nSi vous n’arrivez pas \u00e0 faire utiliser ce proxy \u00e0 votre navigateur, pourquoi ne pas installer un vrai proxy sur votre serveur relai et le mapper via un tunnel normal ? (un \u00ab\u00a0squid\u00a0\u00bb local \u00e0 votre serveur relai fera l’affaire)<\/p>\n3.3.3. Tunnel remote ? Ou comment exporter un serveur local (interne) vers l’ext\u00e9rieur<\/h3>\n
Enfin, sur l’interface de putty, vous avez peut-\u00eatre remarqu\u00e9 une fonctionnalit\u00e9 inexplor\u00e9e jusqu’\u00e0 pr\u00e9sent : les tunnels \u00ab remote \u00bb, par opposition aux tunnels \u00ab locaux \u00bb. Ca permet non pas de mapper un port local vers un couple machine\/port distant mais de faire l’inverse : mapper un couple machine\/port local vers un port distant (sur la machine PC ADSL). Vous ne voyez pas \u00e0 quoi \u00e7a peut servir ? Lisez la suite :<\/p>\n
Attention : c’est mal de faire \u00e7a \ud83d\ude42 car \u00e7a vous permet de rendre accessible un serveur d’Intranet (par exemple) \u00e0 partir de votre machine ext\u00e9rieure (PC ADSL) et donc potentiellement accessible \u00e0 tout le monde depuis le web si vous ne faites pas attention \u00e0 votre configuration r\u00e9seau !<\/p>\n
4. Compl\u00e9ments d’informations<\/h1>\n
4.1. Limitations<\/h2>\n
4.1.1. Bande passante<\/h3>\n
Gardez \u00e0 l’esprit que vous faites tout passer par la machine chez vous, certainement plus lente en d\u00e9bit que l’acc\u00e8s web de l’entreprise notamment pour l’upload (le retour de communication de votre PC ADSL vers putty). Donc si vous mappez des sites web interdits, ne vous \u00e9tonnez pas si \u00e7a raaaaame, surtout si votre client favori de peer-to-peer tourne plein pot…<\/p>\n
4.1.2. Jouer en r\u00e9seau ?<\/h3>\n
D\u00e9cidemment, votre boulot vous passionne… Bon d\u00e9sol\u00e9, c’est pas possible. La plupart des jeux en r\u00e9seaux fonctionnent en mode non connect\u00e9 (UDP) et c’est pas possible de relayer de l’UDP avec cette solution. Si vous voulez quand m\u00eame, cherchez des infos sur un soft qui s’appelle ZeBeDee, j’avais pas eu le temps de creuser \u00e0 l’\u00e9poque.<\/p>\n
(MAJ 2009)<\/strong> Sinon, pensez VPN, hamachi…<\/p>\n
4.1.3. Remarques sur la messagerie<\/h3>\n
A propos du mapping vers des serveurs de messagerie, notez que les fournisseurs bloquent en g\u00e9n\u00e9ral l’acc\u00e8s \u00e0 leur propre SMTP si l’IP \u00e9mettrice n’est pas sur une plage appartenant \u00e0 l’op\u00e9rateur. Pour \u00e9viter le spam d’inconnus. Donc \u00e9vitez de passer par le SSH d’un copain ayant son acc\u00e8s web chez un autre fournisseur pour atteindre votre SMTP, \u00e7a risque de ne pas fonctionner. Exemple : vous voulez utiliser le SMTP de wanadoo en passant par une passerelle SSH chez Nerim.<\/p>\n
Dans le m\u00eame ordre d’id\u00e9es, il faut en g\u00e9n\u00e9ral faire du POP avant de pouvoir envoyer un mail, \u00e7a s’appelle pop before smtp me semble-t-il et c’est aussi fait pour s’assurer \u00e0 peu pr\u00e8s que l’adresse IP de l’\u00e9metteur du mail n’est pas un inconnu car il s’est authentifi\u00e9 par un login\/password pour acc\u00e9der au POP.<\/p>\n
4.2. \u00ab L\u00e9galit\u00e9 \u00bb de la chose<\/h2>\n
Si vous avez peur qu’un gros baraqu\u00e9 de l’\u00e9quipe r\u00e9seaux d\u00e9barque dans votre bureau en disant \u00ab qui c’est l’abruti qui fait du SSH ? \u00bb, n’ayez pas peur.
\nPremi\u00e8rement, la connexion au serveur SSH ne se traduit que par une ligne dans les logs du proxy, une ligne du style \u00ab CONNECT votrenom.dyndns.org:443 \u00bb, exactement comme si vous vous connectiez au site https de votre banque. C’est m\u00eame mieux vu qu’il n’y aura qu’une ligne alors que pour un vrai site web en http(s), il y a aura une ligne par ressource (image, page web etc).
\nDeuxi\u00e8mement, au niveau volum\u00e9trie de donn\u00e9es \u00e9chang\u00e9es, \u00e9tudions l’exemple de la lecture de vos mails : on utilise gr\u00e2ce au tunnel SSH un protocole d\u00e9di\u00e9 \u00e0 la lecture de mail et l’envoi (POP\/SMTP). Ca consommera laaaaaaaargement moins de bande passante que de lire les m\u00eame mails par l’interface web (bourr\u00e9e de pubs par exempe). De plus, comme \u00e7a ramera moins que le chargement complet de pages web, vous mettrez moins de temps \u00e0 lire vos mails.
\nRassur\u00e9 ?
\nUne nuance tout de m\u00eame, si un psychopathe r\u00e9alise qu’il s’agit de SSH sur port 443 et non de HTTPS, il devrait se poser des questions tout de m\u00eame. Je n’ai pas encore rencontr\u00e9 de tels psychopathes.<\/p>\nEnfin, rappelez vous quand m\u00eame la charte informatique que vous avez sign\u00e9e en rentrant dans votre entreprise.<\/p>\n
4.3. Partage de tunnels ?<\/h2>\n
Si vous souhaitez faire profiter de votre tunnel un coll\u00e8gue qui tient absolument \u00e0 suivre aussi le match de football bloqu\u00e9 par le proxy, regardez les options de putty\/ssh pour permettr l’acc\u00e8s aux ports mapp\u00e9s depuis autre part que votre poste local. Exemple : votre coll\u00e8gue entrerait l’adresse ip de votre machine et un port mapp\u00e9 pour acc\u00e9der \u00e0 un site web particulier…<\/p>\n
4.4. Bug dans putty<\/h2>\n
Je ne sais pas si ce bug est toujours d’actualit\u00e9, mais \u00e0 un moment donn\u00e9, il fallait absolument mettre le tunnel dynamique en dernier dans la liste des tunnels, sinon il ne fonctionnait pas.<\/p>\n
4.5. Transfert de fichier ?<\/h2>\n
Installez filezilla, il permet de faire du SFTP. Vous n’aurez pas besoin de tunnels SSH mais je tenais \u00e0 signaler cet outil, libre, gratuit etc etc.
\nIl vous suffit de d\u00e9clarer le proxy de l’entreprise dans les pr\u00e9f\u00e9rences puis de cr\u00e9er une connexion de type SFTP (changez le port en 443) et le tour est jou\u00e9.<\/p>\nSinon, sous Windows, le produit commercial \u00ab Total Commander \u00bb permet d’utiliser votre tunnel dynamique (SOCKS 4).<\/p>\n
4.6. M\u00e9thodes alternatives<\/h2>\n
Si SSH ne vous plait pas (pauvre fou), vous pouvez toujours vous renseigner sur les outils suivants : httport, httptunnel (linux only je crois). Ils font un peu le m\u00eame genre de choses, mais en laaaaaaaargement moins bien.
\nLes deux encapsulent votre trafic r\u00e9seau dans des trames HTTP, c’est lourd, c’est lent etc. Le seul avantage de httport est que les \u00e9diteurs vous fournissent des serveurs (htthost) publics, donc pas besoin d’avoir un serveur relai chez vous ou chez un ami, mais ils rament, sauf si vous payez \ud83d\ude09 Quitte \u00e0 mettre en place un outil pour faire relai, optez pour SSH !
\n(MAJ 2009)<\/strong>
\nA noter stunnel pour faire du tunnel SSL pur (si votre admin r\u00e9seau a grill\u00e9 votre communication SSH sur un port SSL…
\n(MAJ 2009)<\/strong>
\nQuelques liens r\u00e9cemment donn\u00e9s par Toinator et que je n’ai pas creus\u00e9. Lui oui, c’est du lourd apparement.
\nUn bon gros guide :
\nhttp:\/\/dag.wieers.com\/howto\/ssh-http-tunneling\/<\/a>
\nsslh : en PERL (fixme : retrouver l’url)
\nsshl<\/a> : le m\u00eame recod\u00e9 en C pour raisons d’optimisations<\/p>\n5. Remerciements<\/h1>\n
- \n
- Toinator pour la relecture et quelques pr\u00e9cisions, l’initiation \u00e0 ce genre d’outils et le chapitre \u00e0 venir sur le VPN over SSH, si on peut dire.\n<\/li>\n
- Mandraxe<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Salut, Je reprends cette doc \u00e9crite il y a 5 ans et anciennement disponible en bon gros HTML-vi-powered dispo ici : https:\/\/michauko.org\/blog\/2009\/02\/23\/tunnels-tcp-via-ssh-putty-etc\/ Les photos d’\u00e9crans datent de l’\u00e9poque. Mais comme le concept n’a pas boug\u00e9…. …<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[2,82,389,83,4],"tags":[158,27,79,146,279,159],"class_list":["post-181","post","type-post","status-publish","format-standard","hentry","category-debian","category-pl","category-reseau-secu","category-ubuntu","category-windows","tag-openssh","tag-proxy","tag-putty","tag-ssh","tag-ssl","tag-tunnels"],"yoast_head":"\n
Tunnels TCP via SSH, putty etc - Le blog de Michauko<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Tunnels TCP via SSH, putty etc - Le blog de Michauko\" \/>\n<meta property=\"og:description\" content=\"Salut, Je reprends cette doc \u00e9crite il y a 5 ans et anciennement disponible en bon gros HTML-vi-powered dispo ici : https:\/\/michauko.org\/blog\/2009\/02\/23\/tunnels-tcp-via-ssh-putty-etc\/ Les photos d’\u00e9crans datent de l’\u00e9poque. Mais comme le concept n’a pas boug\u00e9…. …\" \/>\n<meta property=\"og:url\" content=\"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/\" \/>\n<meta property=\"og:site_name\" content=\"Le blog de Michauko\" \/>\n<meta property=\"article:published_time\" content=\"2009-02-23T08:01:53+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2011-08-26T09:23:59+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png\" \/>\n<meta name=\"author\" content=\"michauko\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"michauko\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"18 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/\"},\"author\":{\"name\":\"michauko\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/#\\\/schema\\\/person\\\/0cd9f3d9ce4dccc05df81a5b27051ea9\"},\"headline\":\"Tunnels TCP via SSH, putty etc\",\"datePublished\":\"2009-02-23T08:01:53+00:00\",\"dateModified\":\"2011-08-26T09:23:59+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/\"},\"wordCount\":3724,\"commentCount\":45,\"image\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/michauko.org\\\/blog\\\/wp-content\\\/uploads\\\/2009\\\/02\\\/tunnel1.png\",\"keywords\":[\"OpenSSH\",\"proxy\",\"putty\",\"ssh\",\"ssl\",\"tunnels\"],\"articleSection\":[\"Debian\",\"planet-libre.org\",\"reseau et s\u00e9cu\",\"Ubuntu\",\"windows\"],\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/\",\"url\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/\",\"name\":\"Tunnels TCP via SSH, putty etc - Le blog de Michauko\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/michauko.org\\\/blog\\\/wp-content\\\/uploads\\\/2009\\\/02\\\/tunnel1.png\",\"datePublished\":\"2009-02-23T08:01:53+00:00\",\"dateModified\":\"2011-08-26T09:23:59+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/#\\\/schema\\\/person\\\/0cd9f3d9ce4dccc05df81a5b27051ea9\"},\"breadcrumb\":{\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#primaryimage\",\"url\":\"https:\\\/\\\/michauko.org\\\/blog\\\/wp-content\\\/uploads\\\/2009\\\/02\\\/tunnel1.png\",\"contentUrl\":\"https:\\\/\\\/michauko.org\\\/blog\\\/wp-content\\\/uploads\\\/2009\\\/02\\\/tunnel1.png\",\"width\":\"384\",\"height\":\"361\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/tunnels-tcp-via-ssh-putty-etc-181\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\\\/\\\/michauko.org\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Tunnels TCP via SSH, putty etc\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/michauko.org\\\/blog\\\/\",\"name\":\"Le blog de Michauko\",\"description\":\"Si tu ne comprends pas le titre de l'article, passe ton chemin\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/michauko.org\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/michauko.org\\\/blog\\\/#\\\/schema\\\/person\\\/0cd9f3d9ce4dccc05df81a5b27051ea9\",\"name\":\"michauko\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5c3a8969c185fd0eef3893a15408f3ef1b36a6681a066b1eb32045643c30ba65?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5c3a8969c185fd0eef3893a15408f3ef1b36a6681a066b1eb32045643c30ba65?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5c3a8969c185fd0eef3893a15408f3ef1b36a6681a066b1eb32045643c30ba65?s=96&d=mm&r=g\",\"caption\":\"michauko\"},\"sameAs\":[\"http:\\\/\\\/michauko.org\\\/\"],\"url\":\"https:\\\/\\\/michauko.org\\\/blog\\\/author\\\/randomized2\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Tunnels TCP via SSH, putty etc - Le blog de Michauko","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/","og_locale":"fr_FR","og_type":"article","og_title":"Tunnels TCP via SSH, putty etc - Le blog de Michauko","og_description":"Salut, Je reprends cette doc \u00e9crite il y a 5 ans et anciennement disponible en bon gros HTML-vi-powered dispo ici : https:\/\/michauko.org\/blog\/2009\/02\/23\/tunnels-tcp-via-ssh-putty-etc\/ Les photos d’\u00e9crans datent de l’\u00e9poque. Mais comme le concept n’a pas boug\u00e9…. …","og_url":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/","og_site_name":"Le blog de Michauko","article_published_time":"2009-02-23T08:01:53+00:00","article_modified_time":"2011-08-26T09:23:59+00:00","og_image":[{"url":"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png","type":"","width":"","height":""}],"author":"michauko","twitter_card":"summary_large_image","twitter_misc":{"\u00c9crit par":"michauko","Dur\u00e9e de lecture estim\u00e9e":"18 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#article","isPartOf":{"@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/"},"author":{"name":"michauko","@id":"https:\/\/michauko.org\/blog\/#\/schema\/person\/0cd9f3d9ce4dccc05df81a5b27051ea9"},"headline":"Tunnels TCP via SSH, putty etc","datePublished":"2009-02-23T08:01:53+00:00","dateModified":"2011-08-26T09:23:59+00:00","mainEntityOfPage":{"@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/"},"wordCount":3724,"commentCount":45,"image":{"@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#primaryimage"},"thumbnailUrl":"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png","keywords":["OpenSSH","proxy","putty","ssh","ssl","tunnels"],"articleSection":["Debian","planet-libre.org","reseau et s\u00e9cu","Ubuntu","windows"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/","url":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/","name":"Tunnels TCP via SSH, putty etc - Le blog de Michauko","isPartOf":{"@id":"https:\/\/michauko.org\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#primaryimage"},"image":{"@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#primaryimage"},"thumbnailUrl":"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png","datePublished":"2009-02-23T08:01:53+00:00","dateModified":"2011-08-26T09:23:59+00:00","author":{"@id":"https:\/\/michauko.org\/blog\/#\/schema\/person\/0cd9f3d9ce4dccc05df81a5b27051ea9"},"breadcrumb":{"@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#primaryimage","url":"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png","contentUrl":"https:\/\/michauko.org\/blog\/wp-content\/uploads\/2009\/02\/tunnel1.png","width":"384","height":"361"},{"@type":"BreadcrumbList","@id":"https:\/\/michauko.org\/blog\/tunnels-tcp-via-ssh-putty-etc-181\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/michauko.org\/blog\/"},{"@type":"ListItem","position":2,"name":"Tunnels TCP via SSH, putty etc"}]},{"@type":"WebSite","@id":"https:\/\/michauko.org\/blog\/#website","url":"https:\/\/michauko.org\/blog\/","name":"Le blog de Michauko","description":"Si tu ne comprends pas le titre de l'article, passe ton chemin","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/michauko.org\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/michauko.org\/blog\/#\/schema\/person\/0cd9f3d9ce4dccc05df81a5b27051ea9","name":"michauko","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/secure.gravatar.com\/avatar\/5c3a8969c185fd0eef3893a15408f3ef1b36a6681a066b1eb32045643c30ba65?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/5c3a8969c185fd0eef3893a15408f3ef1b36a6681a066b1eb32045643c30ba65?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/5c3a8969c185fd0eef3893a15408f3ef1b36a6681a066b1eb32045643c30ba65?s=96&d=mm&r=g","caption":"michauko"},"sameAs":["http:\/\/michauko.org\/"],"url":"https:\/\/michauko.org\/blog\/author\/randomized2\/"}]}},"_links":{"self":[{"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/posts\/181","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/comments?post=181"}],"version-history":[{"count":29,"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/posts\/181\/revisions"}],"predecessor-version":[{"id":1283,"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/posts\/181\/revisions\/1283"}],"wp:attachment":[{"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/media?parent=181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/categories?post=181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/michauko.org\/blog\/wp-json\/wp\/v2\/tags?post=181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}