Po zeszłotygodniowym doprowadzaniu do normalności połączeń sieciowych z mojego kompa naszła mnie taka refleksja. Po co to wszystko? W sensie – po co ograniczać ludziom z firmy wyjście na świat? Przecież nie ma firewalla czy proxy, których nie da się przebić. Jeśli tylko oferowana jest jakakolwiek usługa pozwalająca wyjść „na świat”, to zaraz da się ją wykorzystać do przewiercenia się do czegokolwiek innego, co jest nam potrzebne.
Tym razem (jak zwykle właściwie) pomocne okaże się Putty. Fantastyczny kawałek kodu. Lekkie, proste, funkcjonalne. I jak się kuma co z tym zrobić – baaardzo ułatwiające życie.
W naszej klasie^wkorporacji wyjście na świat jest mocno okrojone. Nawet pingi nie idą, dostęp jest właściwie tylko do www po gołym http i po https. I to przez wredne proxy z loginem i hasłem. Ale… login i hasło mam. A Putty oferuje połączenia przez proxy HTTP. Więc jedziemy…
Odpalamy Putty, konfigurujemy Look’n’Feel, potem Connection/Proxy, wybieramy typ HTTP. wpisujemy adres proxy, login i hasło – takie jak do logowania się do komputera, wracamy do Session, zmieniamy port na 443, zapisujemy. Potem już tylko Open i logowanie… ;D
Cała sprawa wymaga małego wsparcia gdzieś w sieci w postaci serwerka z ssh i redirectem z portu 443 na 22 (może być ssh po prostu wystawione na 443). Utkamy magiczne zaklęcie:
iptables -t nat -I PREROUTING -s ZEWNETRZNY_ADRES_IP_PROXY -p tcp –dport 443 -j REDIRECT –to 22
Jak mamy już przetestowane połączenie, możemy sobie otworzyć inne okienko Putty i pokonfigurować tunele. Np do domowego SQUID-a (a co tam, firma nie musi wiedzieć, jakie filmiki na YouTube oglądamy), poczty czy (yeah!) OpenVPN, coby sobie móc podmontować dysk sieciowy z domu i mp3 słuchać. Wiem, OpenVPN powinien przebić się przez proxy, ale to nie zawsze działa.
W sumie jedyny powodem takiego krojenia jak dla mnie jest próba ograniczenia ruchu na łaczu firmowym. W końcu kilkaset osób potrafi narobić szumu. A odsetek kretów jest chyba nieduży, więc daje to sensowny zysk w postaci mniejszego obciążenia wyjścia na świat. Ale można to zrobić zupełnie innymi sposobami, nie koniecznie tak upierdliwymi.
I jeszcze z uwag technicznych – jakby ktoś nie miał piecyka linuxowego – to wszystko da się zrobić również na windowsie ;P. Są pakiety SSH dla windowsa, można użyć np Cygwinowego, po nim stunelować się na OpenVPN windziany i mieć dostęp rdesktop do swojego kompa domowego ;P. Jakby ktoś miał potrzebę zrobienia sobie czegoś takiego a nie wiedział jak – prosze pytać.
Że tak spytam… nie obawiasz się, że ktoś z firmy przeczyta Twojego bloga i będziesz miał jakieś nieprzyjemności? Czy masz to gdzieś? ;-)
Widzisz, patent polega na tym, że nie łamię żadnego regulaminu.Wykorzystuję możliwości techniczne zaoferowane przez system. Nie przełamuję żadnych zabezpieczeń. Nie rozpowszechniam tajemnic firmowych. Wszystkie informacje przedstawione w moich postach są albo oficjalnie dostępne na stronach projektów (w większości opensource) albo do samodzielnego wymacania w sieci ogólnodostępnymi narzędziami.
Chyba, że rzeczywiście napisałem coś za dużo, to pliz, daj znać, co wg Ciebie może być problematyczne.