Les Allergies
Alimentaires
Posez votre question Signaler

[SSH] scp avec une DMZ

vincent - Dernière réponse le 13 juil. 2005 à 09:22
Bonjour, j'essaye de configurer une connexion SSH de sorte que un utilisateur interne puisse se connecter a un serveur SSH externe via une DMZ, afin de controler les options utilisées par le client (en particulier interdire le forwarding). Cela donne :

ssh ssh
client interne<=========>DMZ<========>seveur sur internet

J'ai un script qui est executé à chaque connexion sur la DMZ par l'option 'command=' dans authorized_keys2 qui vérifie que la commande passée par le client n'utilise pas des options interdites (nortament le forwarding).
Comment puis-je faire pour que ce script permette d'effectuer de maniere transparente un scp entre le client et le serveur ? même question avec un sftp.

Je suis pas sûr d'avoir été très clair, n'hesitez pas a me poser des question si vous voyez pas où je veux en venir. merci
Lire la suite 

[SSH] scp avec une DMZ »

4 réponses
Réponse
+0
moins plus
mamiemando 20189Messages postés 12 mai 2005Date d'inscription 30 mai 2012Dernière intervention 12 juil. 2005 à 01:30
Pour ssh tu peux faire un tunnel ssh pour ne pas faire d'étape par la DMZ.

Exemple : ici lunix2 correspond à la DMZ. pc111-29 veux contacter mandorallen.elsa.iiens.net. 

CONSOLE 1

(mando@pc111-29) (~) $ ssh -L 6969:192.168.3.69:22 lunix2
Password:
Linux lunix2 2.6.9 #1 SMP Mon Dec 13 10:08:48 CET 2004 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

(mando@lunix2) (~) $ ssh mando@mandorallen.elsa.iiens.net
Password:


CONSOLE 2

(mando@pc111-29) (~) $ ssh -p 6969 -XC mando@localhost
Password:
(mando@mandorallen) (~) $ firefox


Pour ftp pense qu'il faut regarder du côté de NAT et autres ip forwarding (ou proxy).

 Ajouter un commentaire
vincent - 12 juil. 2005 à 09:25
Bon comme je pensais j'ai pas été assez clair dans ma question...
En effet ta réponse marche mais ne fait pas ce que je veux. J'ai besion d'un controle total sur les options passées par le client SSH ce qui n'est pas le cas ici. Pour que tu (enfin pas que toi tous ceux qui lisent ce message aussi) comprennes mieux je vais expliquer ce que j'ai déjà fait.

Sur le serveur SSH de la DMZ j'ai forcé l'authentification par clé publique et j'ai rajouté l'option <<command="mon_script">> de manière à ce que toute connection SSH sur la DMZ execute automatiquement mon_script, et dans ce script j'ai vérifié que $SSH_ORIGINAL_COMMAND soit soit une connexion ssh, scp ou sftp et que les options passées ne contiennent pas de forwarding (ou ne permettent pas d'en faire).
Donc si je reprend les nom des machines que tu as donné cela fait :

pc111-29> ssh login@lunix2 ssh utilisateur@mandorallen.elsa.iiens.net

et donc apres avoir rentré la premiere passphrase le script se lance et verifie que la commande <<ssh utilisateur@mandorallen.elsa.iiens.net>> ne contient pas d'option de forwarding et si c'est le cas la lance. Je rentre alors la passphrase pour la connexion sur le serveur SSH sur le réseau externe et je suis loggué dessus.
Je m'assure ainsi que le client ne pourra pas forwarder de port entre la DMZ et le réseau externe.

Donc mon problème maintenant c'est de faire la même chose pour scp et sftp de manière à ce que la copie se fasse de manière transparente entre pc111-29 et mandorallen.elsa.iiens.net.

j'espère avoir été un peu plus clair... merci de me répondre :)
Ajouter un commentaire
Réponse
+0
moins plus
mamiemando 20189Messages postés 12 mai 2005Date d'inscription 30 mai 2012Dernière intervention 13 juil. 2005 à 00:15
Je vois ce que tu veux dire mais je ne sais pas le faire :-/ A part une recherche sur google je ne peux donc pas trop t'aider :(. Je suis curieux de voir la réponse à ton pb (si elle existe) ;)

Bonne chance.

 Ajouter un commentaire
vincent - 13 juil. 2005 à 09:22
Ok bon ben merci quand même, je vais continuer mes recherches. Et promis je vous averti si je trouve quelque chose...
Ajouter un commentaire
Posez votre question
Ce document intitulé « [SSH] scp avec une DMZ » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?