puertos puerto protocolo permitir para listado entrantes configurar conexiones caracteristicas acceso abrir https ssh firewall port forwarding

protocolo - El servidor de seguridad del cliente bloquea todos los puertos, pero 80 y 443, necesitan reenviar convocats en el puerto 443 a SSH o HTTPS



puerto 445 (5)

Las restricciones del firewall están en su lugar por una razón. Puede que no sean buenos, pero tienen sentido para la persona que lo implementó o que lo implementaron. No intentaré violar la política de la compañía sobre conexiones externas.

Si su necesidad es legítima, solicitaría que el puerto, o un alternativo, se abra a las direcciones que necesita. Si eso no funciona, tal vez una solución VPN sería aceptable.

En el caso en que la gente de la red sea increíblemente protectora, poco dispuesta a responder a la razón, o simplemente incompetente, me gustaría asegurarme de que tuve la aprobación de un gerente que está dispuesto a ir a por mí cuando se convierta en un problema antes de implementar una solución alternativa. Cualquier otra cosa podría terminar razonablemente con la terminación de su empleo. Después de todo, estás hablando de violar una política de seguridad de la compañía.

Actualmente estoy trabajando en un cliente donde han bloqueado la red, a excepción de los puertos 80 y 443. Necesito conectarme a nuestro servidor utilizando SSH, pero el mismo servidor también ejecuta nuestro sitio web. No queremos invertir en un nuevo servidor o colocar una segunda tarjeta de red.

He estado buscando por Internet para configurar nuestro servidor Linux (ejecutando CentOS 5), de modo que hay un daemon escuchando en el puerto 443 que, dependiendo del protocolo del cliente, reenvía la solicitud al puerto interno correcto (SSH 22 o HTTPS movidos a un diferenteport_.

Hay mucha gente en internet buscando esta solución amable, pero no hay instrucciones claras de cómo hacer esto.

Alguien tiene ideas / instrucciones claras de cómo hacer esto?

Saludos, nidkil


Puede construir una pequeña aplicación web que escuche en el puerto 443 que habilita un shell SSH inverso hacia la IP de la conexión entrante, usando autenticación de clave pública. Decir:

  • Usted se autentica en la aplicación web; la aplicación web recupera su IP
  • La aplicación inicia un túnel SSH desde su IP a su IP (en el puerto 22)
  • El servidor SSH en su máquina finaliza el túnel y escucha en localhost: 8080
  • Luego, inicia una sesión SSH con localhost: 8080. Los comandos en la siguiente sesión interactiva se redirigen al host remoto.

Si tiene Apache en nuestro cuadro de centos, puede usar mod_proxy para redirigir las solicitudes de un puerto a otro. Utilizo esto para redirigir las solicitudes a http://webmin.myserver.com a http://myserver.com:10000 (webmin ejecutándose en un puerto inaccesible)

ServerName webmin.myserver.co.uk SSLProxyEngine On ProxyRequests Off ProxyPass / https://myserver.co.uk:10000/ ProxyPassReverse / https://myserver.co.uk:10000/

Coloque lo anterior en su directiva de servidor virtual, y listo. Es posible que esto no funcione con Putty, pero si instala webmin, tiene un módulo SSH al que puede acceder a través de un navegador.


Una solución fácil a su problema podría ser asignar múltiples direcciones IP a su casilla y vincular su SSH al puerto 443 en una IP separada; generalmente puede asignar múltiples direcciones IP a un solo adaptador , sin necesidad de agregar una segunda tarjeta de red. De lo contrario, no conozco ninguna solución lista para lo que quieres hacer. Probablemente tendrías que crear un daemon personalizado para eso, lo cual sería un poco complicado pero factible.


sslh: http://www.rutschle.net/tech/sslh.shtml

Estoy usando 1.5; Todavía no he probado 1.6b, y 1.3 tiene un problema al dejar a los zombis.

Ejecútelo en el puerto 443; si no se envían datos con 2 segundos (el valor predeterminado), se reenvía a ssh. De lo contrario, se reenvía a su servidor web.

Lo estoy ejecutando en mi sitio web ( http://mikeage.net ). Puede usar netcat si quiere ver ambos banners de inicio de sesión.

En mi caso, también tiene otro propósito. Tenemos una configuración aún más restrictiva que usted: todos los puertos están bloqueados, pero se puede llegar a 80 y 443 a través del proxy. Puedo hacer que SSH use un programa como sacacorchos (o masilla de forma nativa) para proxy mi conexión SSH a través del proxy de la compañía a mi servidor: 443, donde después de un breve retraso, mi servidor SSH responde con su banner de inicio de sesión. También puedo publicar páginas web sobre HTTPS estándar (y de hecho, sí).