Перестал работать ssh через proxy (http)
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Перестал работать ssh через proxy (http)
Годами пользовал ssh через компанейские proxy. Обычно скрипты и оттуда вылавливал сам http proxy.
Но с этой недели это дело больше не работает.
Просто интересно, "лавочка накрылась" и забыть или можно еще что-то поднастроить?
Исходные данные:
- трафик через ssh минимальный
- SSH server дома работает на внешний порт 443
- В конторе windows7/putty c proxy настройкой в putty. Теперь сразу выкидывает проблему, лога не дает. Что на десктопе что на лапе-топе.
- web access через браузеры нормальный
- proxy адреса внешне не изменились
- доступ к ssh server с других мест со своих девайсов - без проблем.
"Может что в консерватории подправить?"(с)
Но с этой недели это дело больше не работает.
Просто интересно, "лавочка накрылась" и забыть или можно еще что-то поднастроить?
Исходные данные:
- трафик через ssh минимальный
- SSH server дома работает на внешний порт 443
- В конторе windows7/putty c proxy настройкой в putty. Теперь сразу выкидывает проблему, лога не дает. Что на десктопе что на лапе-топе.
- web access через браузеры нормальный
- proxy адреса внешне не изменились
- доступ к ssh server с других мест со своих девайсов - без проблем.
"Может что в консерватории подправить?"(с)
-
- Уже с Приветом
- Posts: 4827
- Joined: 15 May 2001 09:01
Re: Перестал работать ssh через proxy (http)
Надо смотреть по месту.
1. Возможно, вместо proxy, который https берёт через SOCKS, теперь стоит стоит "казахский фаервол" - proxy сам представляется https-сервером и предъявляет вашему браузеру фальшивый сертифткат сайта, куда вы идёте. А сам идёт на запрошенный https, расшифровывает трафик с него, - и зашифровывает его для Вас с фальшивым сертификатом. Понятно, что через такое putty/SOCKS на 443 домой не пролезет.
2. На Windows с клиентской стороны можно запретить выходить в Интернет некоторым программам - например, установкой Group Policy. Среди программ, которым может быть оставлен доступ, может быть ssh.exe из cygwin - и подобное. Чем у Вас люди в github коммитят? Попробуйте ssh -P 443 -D9876 sanych@sanychevo.com - и в браузере ставьте socks на localhost:9876.
1. Возможно, вместо proxy, который https берёт через SOCKS, теперь стоит стоит "казахский фаервол" - proxy сам представляется https-сервером и предъявляет вашему браузеру фальшивый сертифткат сайта, куда вы идёте. А сам идёт на запрошенный https, расшифровывает трафик с него, - и зашифровывает его для Вас с фальшивым сертификатом. Понятно, что через такое putty/SOCKS на 443 домой не пролезет.
2. На Windows с клиентской стороны можно запретить выходить в Интернет некоторым программам - например, установкой Group Policy. Среди программ, которым может быть оставлен доступ, может быть ssh.exe из cygwin - и подобное. Чем у Вас люди в github коммитят? Попробуйте ssh -P 443 -D9876 sanych@sanychevo.com - и в браузере ставьте socks на localhost:9876.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
1. proxy перечислены в pac-файле, все в виде HTTP bla.bla.bla.com:80 (которые MAIN и еще чего-то). То есть НЕ SOCKS если я правильно понимаю. Пробовал пробить curl'ом, вроде входит в прокси, а на удаленном сервере потом вижу следы в логе типа "неопознаный протокол". Но это только после curl. А putty никаких следов не оставляет.
2. сигвиновский ssh требует нечто чтобы пробить прокси (в putty отдельный таб для этого). -Dxxxx меня не волнует и не интересует на данный момент потому как SSH-коннекшн сам не может соединиться. Мне бы это добить.
То есть нечто типа
ssh -P443 sanych@xxxx.com -o "ProxyCommand=any_kind_of_nc xxxxxxxxxxxxxx %h %p"
но оно вообще не работает: "ssh_exchange_identification: Connection closed by remote host"
Поскольку в нашем локейшене я остался один SW и хочу переползти с локального SVN на глобальный GIT - этот факт меня и беспокоит
Короче говоря, речи о тоннеле нет вообще, поскольку нужно не создать SOCKS proxy, а очень даже наоборот - используя существующие HTTP прокси выйти на сервер.
2. сигвиновский ssh требует нечто чтобы пробить прокси (в putty отдельный таб для этого). -Dxxxx меня не волнует и не интересует на данный момент потому как SSH-коннекшн сам не может соединиться. Мне бы это добить.
То есть нечто типа
ssh -P443 sanych@xxxx.com -o "ProxyCommand=any_kind_of_nc xxxxxxxxxxxxxx %h %p"
но оно вообще не работает: "ssh_exchange_identification: Connection closed by remote host"
Поскольку в нашем локейшене я остался один SW и хочу переползти с локального SVN на глобальный GIT - этот факт меня и беспокоит
Короче говоря, речи о тоннеле нет вообще, поскольку нужно не создать SOCKS proxy, а очень даже наоборот - используя существующие HTTP прокси выйти на сервер.
-
- Уже с Приветом
- Posts: 19924
- Joined: 30 Aug 2000 09:01
- Location: WA
Re: Перестал работать ssh через proxy (http)
Putty с скофигурированным прокси должен работать, если только его специально не фильтровать.
Я бы трассу снял - будет яснее. Wireshark или что-нибудь подобное.
Я бы трассу снял - будет яснее. Wireshark или что-нибудь подобное.
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
А что за прокси у вас? У нас к примеру Blue Coat и чтобы себе любимому открыть ssh наружу, мне пришлось во первых получить разрешение чтобы меня прописали в соотв полиси, во вторых поставить open text socks proxy локально, и только после этого оно стало работать. Давным давно было как у вас через 443, но потом это зарезали и перестало работать совсем. Сильно умный у нас прокси оказался.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
Putty и работал с прокси как и положено. Больше года без проблем. До понедельника.uncle_Pasha wrote: ↑21 Nov 2017 17:11 Putty с скофигурированным прокси должен работать, если только его специально не фильтровать.
Я бы трассу снял - будет яснее. Wireshark или что-нибудь подобное.
За WireShark боюсь меня уроют. Проверю, если разрешен конторой.
Могу кинуть дамп когда пытался через curl и прокси соединиться с сервером. Сделать?
Что заметил - порт 22 точно забанили. Надеюсь на 443 но пока не получается. Раньше получалось.
Для браузеров настройка:
Use automatic configuration script: http://bla.nasha.kontora.com/pac.pac
Оттуда выковыриваю из
Code: Select all
var [b]Main_Proxy[/b] = "PROXY [i]bla-zscaler-bla.proxy.bla.kontora.com:80[/i]";
var Other_Proxy = ....
.......................
if (findHostInArray(host, kakojto.spisok)) {
return ....;
}
return [b]Main_Proxy[/b];
}
//Endfunction FindProxyForURL
Потому bla-zscaler-bla.proxy.bla.kontora.com:80 был и остается прописан как HTTP proxy в Putty.
Собственно в предыдущих 2-х конторах был такой же подход и тоже всегда все у меня работало.
От Putty можно добиться какого нить вменяемого лога? Кроме такого:
Code: Select all
=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2017.11.20 15:19:32 =~=~=~=~=~=~=~=~=~=~=~=
Will use HTTP proxy at bla-zscaler-bla.proxy.bla.kontora.com:80 to connect to xxxx.com:443
Looking up host "bla-zscaler-bla.proxy.bla.kontora.com" for proxy
Connecting to HTTP proxy at 11.22.33.44 port 80
-
- Уже с Приветом
- Posts: 13682
- Joined: 16 Jan 2001 10:01
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
Putty не запрещен. Опять таки git и прочая. Wireshark - надо прояснить в Corporate.
Cитуевина: подразделение в основном из электриков и механиков + factory floor. Софт - было нас двое, теперь полтора (один - скорее тестер на labview). IT-шник одна штука, но все эти вопросы идут через Corporate. Help desk по всем вопросам... да, да, в Индии. Чем меньше с ними, тем больше сами
Не, варианты должны быть, но это уже гораздо муторней.
-
- Уже с Приветом
- Posts: 19924
- Joined: 30 Aug 2000 09:01
- Location: WA
Re: Перестал работать ssh через proxy (http)
Дык, одно дело не запрещено внутри, и совсем другое - ползать тайком наружу.
Если ssh нужен для личных трудов, то безопаснее коннектиться через телефон и т.п.
Если для конторского блага - официально открывать на фареволе.
Иначе, как правильно заметили, выведут. И какой-нибудь <бип> себе очередную медаль на грудь повесит.
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Кстати, авторизацию прокси требует?
Not everyone believes what I believe but my beliefs do not require them to.
-
- Новичок
- Posts: 82
- Joined: 18 Feb 2007 20:50
- Location: Moscow
Re: Перестал работать ssh через proxy (http)
Возможно, стал проверяться трафик через прокси. Если он ssl - то пропускается, если ssh - то запрещается.
Можно попробовать установить sslh на удаленной стороне и настроить с использованием proxytunnel.
То есть схема будет выглядеть следующим образом:
ssh -> proxytunnel -e ----[ssh/ssl]---> stunnel ---[ssh]---> sslh --> sshd
Вот здесь это расписано подробнее: http://www.rutschle.net/sslh
Можно попробовать установить sslh на удаленной стороне и настроить с использованием proxytunnel.
То есть схема будет выглядеть следующим образом:
ssh -> proxytunnel -e ----[ssh/ssl]---> stunnel ---[ssh]---> sslh --> sshd
Вот здесь это расписано подробнее: http://www.rutschle.net/sslh
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
Вроде нет. Попробовал cntlm proxy на лаптопе - вроде не требует, пропускает на HTTP proxy как есть.
Интересный вариант, возможно как раз мой случай, но городить такое на рабочем виндовом компе я бы пока не стал.
Лично-конторских. Фильмы качать не требуется и ходить на фривольные сайты тоже не надо.
Нуууу... типа да. В теории можно. Вы не пробовали делать это в очень крупных компаниях? Вот и хочется попытаться малой кровью если это еще возможно.uncle_Pasha wrote: ↑22 Nov 2017 02:18 Если для конторского блага - официально открывать на фареволе.
-
- Уже с Приветом
- Posts: 19924
- Joined: 30 Aug 2000 09:01
- Location: WA
Re: Перестал работать ssh через proxy (http)
Пробовал, и не раз. Если это действительно большая компания, то срезать углы я бы не советовал.
В большой компании исключения - не редкость, и в 99% случаев существует стандартная процедура, как исключение получить.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
Насчет углов соглашусь. Насчет процедуры - попытка не пытка. Попытка пойдет через Хайдарабад или Мумбай, помаринуется, потом 2-3 недели тупого пинг-понга, затем ответит "гуру" с рабочим временем 2am-8am EST... Как то так. А тут еще праздники на носу...uncle_Pasha wrote: ↑22 Nov 2017 05:38 Пробовал, и не раз. Если это действительно большая компания, то срезать углы я бы не советовал.
Надо будет с IT-шником потрещать. Может чего попроще изобретем.
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Да, и вполне успешно. Но время занимает.Sanych wrote: Нуууу... типа да. В теории можно. Вы не пробовали делать это в очень крупных компаниях? Вот и хочется попытаться малой кровью если это еще возможно.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Больше размерчик.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Если вы не в Канаде, то вряд ли
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Нет. Все местное.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
Везунчик...
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Политика компании такая. А то потом концов не найдёшь.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 7728
- Joined: 10 Jan 1999 10:01
- Location: OH->TX->MI->MA->VA->FL->...
Re: Перестал работать ssh через proxy (http)
А штаты вон как захлестнуло индосорсингом лет 10+ назад, так не отобьешься теперь...
Нашел таки wireshark в списке допустимых к использованию в конторе. Но пожалуй с айтишником потрещу, чтобы не было потом разборок.
Нашел таки wireshark в списке допустимых к использованию в конторе. Но пожалуй с айтишником потрещу, чтобы не было потом разборок.
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Перестал работать ssh через proxy (http)
Зависит от компании. Несколько конкурентов таки оутсорсят IBM, а те индусов любят. 10 лет назад IBM к нам приходило, обещали золотые горы. Сказали в итоге нет. Но договорщики из IBM были такие настырные, что злые языки говорят что их чуть ли насильно выводили за территорию
Not everyone believes what I believe but my beliefs do not require them to.