Доступ к SSH из высокозащищенной сети (не моя) [закрыто]
Пользователь, у которого есть корпоративный ноутбук (Windows Vista) и находится в сети, которая не позволяет выходить никакому трафику, должен войти на один из моих SSH-серверов. . Не работает. Насколько я могу судить, безопасность:
- Общие ограничения портов на уровне маршрутизатора; разрешить только 80, 443 и т. д.
- Локальный программный брандмауэр, ограничивающий доступ к программам (программное обеспечение Symantec)
- HTTP не проксируется.
- Он не является локальным администратором на своем ноутбуке.
Я создал правило iptables, которое перенаправляет порт 80 на 22. Когда он обращается к хосту через Internet Explorer, он получает строку версии SSH. Шпатлевка, однако, не может соединиться. Не может и wget.
Я подозреваю, что брандмауэр Symantec блокирует это. Когда вы открываете панель состояния, вы не можете видеть, что разрешено, а что нет (но вы можете видеть соединение, которое устанавливает каждая программа), но я подозреваю, что, если вы получите доступ к нему с правами администратора, вы сможете чтобы увидеть это, и предоставьте программам доступ.
Подводя итог, я попробовал:
- ssh на 80-м порту
- VPN к хосту (тоже заблокирован)
- Именование putty.exe IExplore.exe
- Добавление маршрутов в таблицу маршрутизации (может ' t, вам нужны права администратора)
Единственное решение, которое я вижу на данный момент, - это установка веб-клиента ssh на рассматриваемый сервер ...
I would first contact their network admin and explain why the port needs to be opened. As a network admin, if there were a valid reason for someone to need SSH traffic I'd have no problem enabling it and adjusting the firewall rules on their machine to allow whatever traffic was needed.
The reason these things are blocked in the first place is because many places only allow the traffic they need, and block everything else until someone actually needs it. It's much easier to block everything and allow the things you know is good, than to allow everything and try to block the bad stuff. Restrictions like this can for example help prevent viruses from spreading or connecting to it's control servers.
If the network admin can't/won't help you, you can install a web based terminal program on your server. GateOne is a really nice one that has a lot of useful features.
Since that is all regular web traffic it will likely be allowed by both the local machine firewall and the network firewall(s). I have tested it on a very restrictive network at a hotel and had no issues.
TL;DR
Your options are, from best to worst:
Contact network admin, get them to fix it - if it's for business purposes they will
Install a web based terminal or SSH client on your server
Get a cellular internet USB stick and use that instead of the network provided
Я не уверен, требуются ли для этого права администратора, но вы можете использовать stunnel. Это будет выглядеть для брандмауэра как https, и локальный доступ с помощью замазки вряд ли будет заблокирован.
возможно, межсетевой экран также проверяет тип трафика, и если он видит, что трафик ssl идет через 80-й порт, он разрывает соединение. Попробуйте настроить ssh на порту 443, это может помочь, если я прав.