Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Linux-Unix

[SSH] scp avec une DMZ

Dernière réponse le 13 jui 2005 à 09:22:02 vincent, le 11 jui 2005 à 11:27:30

Signaler ce message aux modérateurs

Bonjour, j'essaye de configurer une connexion SSH de sorte que un utilisateur interne puisse se connecter a un serveur SSH externe via une DMZ, afin de controler les options utilisées par le client (en particulier interdire le forwarding). Cela donne :

ssh ssh
client interne<=========>DMZ<========>seveur sur internet

J'ai un script qui est executé à chaque connexion sur la DMZ par l'option 'command=' dans authorized_keys2 qui vérifie que la commande passée par le client n'utilise pas des options interdites (nortament le forwarding).
Comment puis-je faire pour que ce script permette d'effectuer de maniere transparente un scp entre le client et le serveur ? même question avec un sftp.

Je suis pas sûr d'avoir été très clair, n'hesitez pas a me poser des question si vous voyez pas où je veux en venir. merci

Posez votre question Répondre

mamiemando, le 12 jui 2005 à 01:30:22

Pour ssh tu peux faire un tunnel ssh pour ne pas faire d'étape par la DMZ.

Exemple : ici lunix2 correspond à la DMZ. pc111-29 veux contacter mandorallen.elsa.iiens.net.

CONSOLE 1

(mando@pc111-29) (~) $ ssh -L 6969:192.168.3.69:22 lunix2
Password:
Linux lunix2 2.6.9 #1 SMP Mon Dec 13 10:08:48 CET 2004 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

(mando@lunix2) (~) $ ssh mando@mandorallen.elsa.iiens.net
Password:


CONSOLE 2

(mando@pc111-29) (~) $ ssh -p 6969 -XC mando@localhost
Password:
(mando@mandorallen) (~) $ firefox

Pour ftp pense qu'il faut regarder du côté de NAT et autres ip forwarding (ou proxy).

Répondre à mamiemando

vincent, le 12 jui 2005 à 09:25:36

Bon comme je pensais j'ai pas été assez clair dans ma question...
En effet ta réponse marche mais ne fait pas ce que je veux. J'ai besion d'un controle total sur les options passées par le client SSH ce qui n'est pas le cas ici. Pour que tu (enfin pas que toi tous ceux qui lisent ce message aussi) comprennes mieux je vais expliquer ce que j'ai déjà fait.

Sur le serveur SSH de la DMZ j'ai forcé l'authentification par clé publique et j'ai rajouté l'option <<command="mon_script">> de manière à ce que toute connection SSH sur la DMZ execute automatiquement mon_script, et dans ce script j'ai vérifié que $SSH_ORIGINAL_COMMAND soit soit une connexion ssh, scp ou sftp et que les options passées ne contiennent pas de forwarding (ou ne permettent pas d'en faire).
Donc si je reprend les nom des machines que tu as donné cela fait :

pc111-29> ssh login@lunix2 ssh utilisateur@mandorallen.elsa.iiens.net

et donc apres avoir rentré la premiere passphrase le script se lance et verifie que la commande <<ssh utilisateur@mandorallen.elsa.iiens.net>> ne contient pas d'option de forwarding et si c'est le cas la lance. Je rentre alors la passphrase pour la connexion sur le serveur SSH sur le réseau externe et je suis loggué dessus.
Je m'assure ainsi que le client ne pourra pas forwarder de port entre la DMZ et le réseau externe.

Donc mon problème maintenant c'est de faire la même chose pour scp et sftp de manière à ce que la copie se fasse de manière transparente entre pc111-29 et mandorallen.elsa.iiens.net.

j'espère avoir été un peu plus clair... merci de me répondre :)

Répondre à vincent

mamiemando, le 13 jui 2005 à 00:15:50

Je vois ce que tu veux dire mais je ne sais pas le faire :-/ A part une recherche sur google je ne peux donc pas trop t'aider :(. Je suis curieux de voir la réponse à ton pb (si elle existe) ;)

Bonne chance.

Répondre à mamiemando

vincent, le 13 jui 2005 à 09:22:02

Ok bon ben merci quand même, je vais continuer mes recherches. Et promis je vous averti si je trouve quelque chose...

Répondre à vincent

Posez votre question Répondre