Cette page est considérée comme vétuste et ne contient plus d'informations utiles.
Apportez votre aide…

Ceci est une ancienne révision du document !


Comment avoir un accès complet à internet derrière un proxy

Ce tutoriel explique comment obtenir un accès complet à internet depuis un site sécurisé par un Proxy en utilisant son pc personnel comme serveur Proxy. Je souhaitais accéder à plusieurs serveur en vnc (port 5901) or la plupart des sites où j'interviens protègent l'accès à internet par un proxy.

Si l'entreprise laisse passer le HTTP/HTTPS (si on peut utiliser les sites marchands, c'est le cas), il est en général possible de se connecter chez soi en SSH (donc quasiment tout utiliser à travers des tunnels SSH: VNC en particulier) même si le proxy/firewall l'empêche.

Au niveau du serveur SSH chez soi, dans le pire des cas, il faudra juste ajouter un port d'écoute supplémentaire pour le sshd: Le port 443 du HTTPS.

Le principe est simple:

-Côté boulot: Utiliser une appli user type proxytunnel et créer un fichier /home/username/.ssh/config permettant d'integrer la création du tunnel HTTPS comme préalable a la connection ssh pour les hostnames conçernés. Ceci ne nécéssite pas les droits d'administration. A noter que pour les hosts windows il est possible de configurer Putty afin de faire la même chose, mais je ne détaillerais pas.

-Côté maison: éditer /etc/ssh/sshd_config pour ajouter un port d'écoute si le proxy vérifie le port de connection HTTPS, ce qui n'est pas toujours le cas. Ceci nécéssite les droits d'administration, mais en général on maitrise ce côté de la chaine ;o)

Installer proxytunnel directement de sa source: http://proxytunnel.sourceforge.net/download.php

Downloader le linux-x86 binary et le copier dans /home/username/.ssh (remplacer "username" par son nom d'utilisateur!).

Vérifier qu'il a bien l'attribut +x (execution), sinon faire : chmod u+x proxytunnel-i386-linux

Créer (s'il n'existe pas) un fichier /home/username/.ssh/config et y placer la ligne d'appel de proxytunnel:

# Remplacer ce nom par son domaine dyndns maison ou IP (si fixe) host mon_domaine.net

# Remplacer "nom_du_proxy:port_proxy" par ce qui est utilisé dans l'entreprise: # voir config de firefox/IE, ou directement le fichier de config auto du proxy… # Si pas d'authentification auprès du proxy, virer les -u -s et les username/passwd. #Sinon, mettre les bons (attention a ne pas laisser les droits r aux autres utilisateurs).

 ProxyCommand /home/username/.ssh/proxytunnel-i386-linux -p nom_du_proxy:port_proxy -u username -s user_internet_passwd -d mon_domaine.net:443 -v

On utilise putty qui va créer une connection ssh. La version portable de Putty est très pratique, car on peut la mettre sur une clé usb : Portable Putty

éditez le fichier .putty\sessions\masession :

Protocol=ssh 
PortNumber=443 

// Activation du keep alive afin d’éviter d’être déconnecté 
PingIntervalSecs=30 
TCPNoDelay=1 

// Configuration du proxy (proxy http) 
ProxyMethod=3 
ProxyHost=Proxy 
ProxyPort=3128 
ProxyUsername=login 
ProxyPassword=XXXX 

// redirection de ports 
LocalPortAcceptAll=1 
RemotePortAcceptAll=1 
PortForwardings=D6588,

Configurer le navigateur :

installez le paquet ssh

sudo apt-get install ssh

Editez le fichier /etc/ssh/sshd_config afin d'ajouter "Port 443" en dessous du classique port d'écoute 22 du daemon sshd.

Pour éviter les déconnection, il faut utiliser le mode keepalive : Editez le fichier /etc/ssh/sshd_config et ajouter la ligne : <b>CPKeepAlive yes<b>

Possibilité de faire du VNC chez soi sous tunnel SSH crypté en redirigeant classiquement les ports 59XX avec l'option -L de la ligne de commande ssh. Voir les tutoriels/posts forum à ce sujet (ou le man ssh).

Possibilité de faire du web en utilisant son PC ubuntu maison: Utiliser l'option -D de ssh, qui transforme le serveur ssh en proxy SOCKS.

Et tout ce que peut faire SSH:

Si l'on veut se passer du VPN de l'entreprise… Lançer un reverse tunnel ssh chez soi par exemple! On se connecte ensuite de chez soi via le localhost et en utilisant le N° de port reverse forwardé avant de partir du travail ;o)

De quoi rendre un admin fou… et sans doute la raison pour laquelle le HTTPS commençe a ne plus sortir dans certaines entreprises?


Contributeurs : manusvs650, ????.

  • tutoriel/acces_full_internet_ssh_derriere_proxy.1199785786.txt.gz
  • Dernière modification: Le 18/04/2011, 14:50
  • (modification externe)