El Mon, 14 Feb 2011 15:17:51 +0100, carlopmart escribió:
On 02/14/2011 03:09 PM, Camaleón wrote:
Mecc .. Error. Es que no te viene una petición al puerto 25555 desde el exterior. La petición al puerto 25555 viene "dentro del túnel ssh" que ha establecido la máquina A hacia la máquina B.
En el ejemplo de la página anterior, el cliente remoto (casa) ejecutaba "ssh -p 2048" para conectar al equipo de la oficina :-?
Si pero esa petición va por el tunel ssh. Si te fijas hace "ssh -p 2048 localhost". Ataca localhost y no a la ip pública.
Ahhh, _eso_ es lo que se me había pasado. ¿Y cómo "carallo" se establece la conexión con el equipo externo conectándose consigo mismo? Entonces... entonces (espera que ya lo voy pillando) es el equipo de la oficina el que realmente "comanda" la conexión, no el de casa, el de casa sólo está "a la espera".
Entonces no entiendo el ejemplo de la página web. Es el equipo "de fuera" el que conecta al equipo de la empresa, no al revés.
Si pero la diferencia es que conecta a través de una conexión pre-establecida (en este caso ssh) y no a través de una nueva conexión. Esa es la diferencia.
Ahora sí :-) (...)
El error es del administrador que permite esa conexión (no es un error si "debe" permitirla).
Vale, ¿pero como estableces una conexión desde un equipo remoto a esa conexión? Entiendo que desde dentro se pueda hacer (siempre y cuando se permita el tráfico saliente al puerto 22) la duda es cómo permite una conexión externa.
Es que donde te estás equivocando es en lo de pensar en "la duda es cómo permite una conexión externa".No es una conexión externa. La conexión se produce dentro de otra conexión ya establecida.
Pillado. Vale, eso tiene más lógica.
Es muy sencillo. Como la máquina A (máquina interna) tiene una conexión abierta hacia la máquina B (maquina externa) y el firewall la permite, lo que tu haces es aprovechar esa conexión para encapsular otra dentro de ella que recorre el camino inverso. No es vista como una conexión inversa.
Correcto, sí, eso sí lo tenía como "posible" dentro de mis esquemas. Lo que no entendía era cómo se podía conectar en remoto el equipo de casa, pero no es el de casa el que conecta sino el de dentro (el de casa está "durmiente" a la espera de la "llamada" del otro).
Puedes hacer la prueba entre dos máquina de una lan interna (sin necesidad de que haya un firewall o router de por medio). Funcionará igual. Por ejemplo:
Desde la máquina A: lanza un "ssh -N -R 25555:localhost:22 usuario@maquinaB". Te pedirá el password a menos que uses intercambio de claves.
Desde la máquina B: lanza un "ssh -p 25555 localhost" y voilà, estarás dentro de la máquina A.
Okis... ahora que esto está entendido vayamos un poco más allá. ¿Un túnel ssh inverso sólo sirve para saltarse el cortafuegos interno o tiene alguna otra utilidad que no la proporcione una conexión ssh directa? Porque si no la tiene, cualquier conexión generada por ese medio sería "de por sí" sospechosa. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org