ssh derrière proxy

[Commodor]

Bonjour à tous

voila j'ai une interrogation peut être bête mais je n'arrive pas à trouver une solution dans mon cas.

Je m'explique, la connexion à un serveur ssh derrière un proxy est-elle possible ?
Et ce même avec plusieurs serveurs ?

Code :

serverSSH_1 --------|
                    |   192.168.0.0
serverSSH_2 -------------------------- PROXY ---------- WWW ------ CLIENT_SSH
                    |
serverSSH3 ---------|

Enfin, ça ne vas pas poser un problème si les 3 serveurs écoutent sur le port 22 ? ils vaudrait mieux que chaque serveur écoute sur un port différent je me trompe ?
Et pour ce qui est du proxy pas de problème à prévoir ? Il me semble que c'est plus dans le sens inverse que cela pose problème

Merci

[gruik]

je pense que déjà on est pas sur la bonne terminologie, ou alors j'ai pas bien compris ton souci, ssh c'est communément le port 22, un proxy c'est communément un proxy http, souvent sur le port 8080 ou autre

si on parle bien d'un proxy web le traffic ssh n'entre à aucun moment en conflit avec

un proxy ssh c'est une autre affaire, déjà ça n'a rien de standard, je connais qu'un seul tool qui permette vraiment de faire proxy sur ssh et c'est plus un poc qu'autre chose

enfin vu le schémas que tu donnes, on pourrait également supposer qu'en fait de proxy c'est un load-balancer au milieu, qui va par exemple selon l'IP envoyer le traffic sur l'un ou l'autre serveur

[supersnail]

Personnellement j'aurais plûtot pensé à des bécanes planquées derrière un firewall/box et un NAT pour les rendre "accessibles" via l'extérieur.

Après j'ai du mal à voir ce que vient faire le proxy ici (à part ptet un proxy http(s) qui supporte la méthode CONNECT et qui fait un CONNECT 192.168.0.x:22 pour aller taper sur le bon serv, le tout couplé à un corkscrew côté client, mais je pense que ce ça craint niveau sécu tout ça, ça fait une belle porte d'entrée sur l'infra interne :])

[Aniem]

J'ai fait mes études dans un endroit où le reseau intranet est coupé de l'exterieur, la seule "passerelle" étant un proxy HTTP.

Code :

alias sshExt='ssh -o ProxyCommand='\''socat - PROXY:<PROXYADDRESS>:%h:%p,proxyport=<PROXPORT>'\'

m'a été bien utile ,)

[T1loc]

Si la question est de comment passer en ssh lorsqu'un proxy web est en place, alors voila comment je procédais :
Le proxy web autorise en sortie sur le 80 et 443 quasi tout le temps.
Il faut se munir d'un service ssh tournant sur le port 80 ou 443 et généralement d'un nom de domaine (les ip étant généralement bloqué aussi).

Par la suite, on réalise une connexion ssh :

Code :

ssh -D 1234 -p 443 user@ip.com

Dans les navigateur on peux configurer un proxysocks pour utiliser le lien établie pour faire transité le flux.

Ou alors utilise proxycap ou proxifier pour bénéficier du lien sur l'ensemble du système (Windows)
Pour linux il faut utilisé tsock

[gruik]

Code :

ssh -D 1234 -p 443 user@ip.com

Dans les navigateur on peux configurer un proxysocks pour utiliser le lien établie pour faire transité le flux.

oui mais comme tu dis ça cause socks pour le coup, pas http, ton browser une fois désencapsulé du tunnel socks (local ?) cause bien http mais là c'est du ssh qu'il voudrait faire transiter à priori, donc c'est la problématique inverse en fait
pour passer à travers un proxy http il faudra faire comme expliquait Aniem

mais comme tu fais remarquer, on est toujours pas sûr de la question exacte et de savoir si c'est bien un proxy http qu'on a au milieu wait'n see...

[Commodor]

En faite je partais sur un petit projet pour outrepasser la redirection de ports. Mais en utilisant des serveurs ssh pour mes testes je me suis rendu compte qu'on pouvait se "reconnecter" directement dans un tunnel créé et donc s'affranchir des ports fermés. (technique du reverse ssh)