Синтаксис проброса портов

Vladimir Kalachikhin написал(а) к All в Feb 15 15:32:37 по местному времени:

Нello!

Чёта я никак ниасилю синтаксис проброса портов с помощью ssh....
Вот например, правильно ли я понимаю, что:
ssh -R remoteaddr:remote_port:target_host:target_port user@remotehost
означает, что, введя эту команду на машине my_host, я получу, что:
порт remoteport интерфейса remoteaddr
на машине remote_host
будет доступен для соединений, при этом все эти соединения будут транслироваться
на порт targetport на машине targethost,
через машину my_host?

Если сказано, что указывать remote_addr не обязательно, и тогда это будет localhost,
означает ли это, что порт remoteport на машине remotehost не будет доступен с других интерфейсов, отличных от localhost?

А то я тут всякую фигню наблюдаю, и не знаю, кто из нас дурак...
---
WBR, Vladimir Kalachikhin.

--- wfido

Nikolay Simonov написал(а) к Vladimir Kalachikhin в Feb 15 02:02:54 по местному времени:

Vladimir, давай выпьем чая?


[19 Feb 15, 15:32] Vladimir Kalachikhin => All:
VK> Чёта я никак ниасилю синтаксис проброса портов с помощью ssh....
VK> Вот например, правильно ли я понимаю, что:
VK> ssh -R remoteaddr:remote_port:target_host:targetport
VK> user@remotehost означает, что, введя эту команду на машине myhost, я
VK> получу, что: порт remoteport интерфейса remoteaddr на машине
VK> remote_host будет доступен для соединений, при этом все эти соединения
VK> будут транслироваться на порт targetport на машине targethost, через
VK> машину my_host?

Не могу поручиться за точность формулировок, но примерно так. Однако (по моему опыту) особенность, в том, что при этом на удаленном хосте remoteport слушается только на remote_addr, но на других интерфейсах его открыть уже не получится. То есть одновременно в одном соединении нельзя повесить на один порт разных интерфейсов форварды на разные target_host:target_port. Это у меня получилось преодолеть параметром "-b remoteaddr", но тогда надо для каждого форварда устанавливать отдельное соединение.

VK> Если сказано, что указывать remote_addr не обязательно, и тогда это
VK> будет localhost, означает ли это, что порт remote_port на машине
VK> remote_host не будет доступен с других интерфейсов, отличных от
VK> localhost?

Не... Доступен ли порт с других машин (не localhost) определяется параметром соединения "-g" - раз, а два - настройкой "GatewayPorts yes" в конфиге sshd на remote_host.

VK> А то я тут всякую фигню наблюдаю, и не знаю, кто из нас дурак...

Расскажи поподробнее :)

--
С уважением, Николай.
Jabber: teabbs@jabber.ru
... А в небе надо мной все та же звезда, не было другой и не будет.
--- GoldED+/LNX 1.1.5-b20130910, CentOS Linux release 7.0.1406 (Core)

Vladimir Kalachikhin написал(а) к Nikolay Simonov в Feb 15 13:51:05 по местному времени:

Нello, Nikolay!

> Доступен ли порт с других машин (не localhost) определяется параметром соединения "-g" - раз, а два - настройкой "GatewayPorts yes" в конфиге sshd на remote_host.

Ага! Вот оно что!
А нет ли где подробного описания этого конфига, на русском или литературном английском? А то в мане я все слова понимаю, но смысл от меня ускользает...

VK>> А то я тут всякую фигню наблюдаю, и не знаю, кто из нас дурак...

> Расскажи поподробнее :)

Ну, теперь уже и не интересно. Оно с одного хоста работало, а с другого - нет, хотя всё было одинаково. Но оказалось, что там, где работало - обращалось вообще в другое место с таким же сервисом. Ошибочка закралась ;-)

WBR, Vladimir Kalachikhin.

--- wfido

Nikolay Simonov написал(а) к Vladimir Kalachikhin в Feb 15 22:55:26 по местному времени:

Vladimir, давай выпьем чая?


[26 Feb 15, 13:51] Vladimir Kalachikhin => Nikolay Simonov:
>> Доступен ли порт с других машин (не localhost) определяется
>> параметром соединения "-g" - раз, а два - настройкой "GatewayPorts
>> yes" в конфиге sshd на remote_host.
VK> Ага! Вот оно что!
VK> А нет ли где подробного описания этого конфига, на русском или
VK> литературном английском? А то в мане я все слова понимаю, но смысл от
VK> меня ускользает...

Насчет русского ничего не знаю. Я сам, если честно, очень долго вдуплял, как оно работает.


--
С уважением, Николай.
Jabber: teabbs@jabber.ru
... А в небе надо мной все та же звезда, не было другой и не будет.
--- GoldED+/LNX 1.1.5-b20130910, CentOS Linux release 7.0.1406 (Core)

Alexey Vissarionov написал(а) к Nikolay Simonov в Feb 15 08:42:44 по местному времени:

Доброго времени суток, Nikolay!
26 Feb 2015 22:55:26, ты -> Vladimir Kalachikhin:

>>> Доступен ли порт с других машин (не localhost) определяется
>>> параметром соединения "-g" - раз, а два - настройкой "GatewayPorts
>>> yes" в конфиге sshd на remote_host.
VK>> Ага! Вот оно что! А нет ли где подробного описания этого конфига, на
VK>> русском или литературном английском? А то в мане я все слова понимаю,
VK>> но смысл от меня ускользает...
NS> Насчет русского ничего не знаю. Я сам, если честно, очень долго
NS> вдуплял, как оно работает.

Надо не вдуплять, а читать мануал. И хотя бы немного представлять себе, как работает TCP/IP - в частности, чем порт отличается от сокета и для чего в sockaddrin присутствует sinaddr.

Так-то!

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Главное прокукарекать, а там хоть трава не расти
--- /bin/vi

Nikolay Simonov написал(а) к Alexey Vissarionov в Mar 15 10:50:02 по местному времени:

Alexey, давай выпьем чая?


[27 Feb 15, 08:42] Alexey Vissarionov => Nikolay Simonov:
>>>> Доступен ли порт с других машин (не localhost) определяется
>>>> параметром соединения "-g" - раз, а два - настройкой
>>>> "GatewayPorts yes" в конфиге sshd на remote_host.
VK>>> Ага! Вот оно что! А нет ли где подробного описания этого
VK>>> конфига, на русском или литературном английском? А то в мане я
VK>>> все слова понимаю, но смысл от меня ускользает...
NS>> Насчет русского ничего не знаю. Я сам, если честно, очень долго
NS>> вдуплял, как оно работает.
AV> Надо не вдуплять, а читать мануал. И хотя бы немного представлять
AV> себе, как работает TCP/IP - в частности, чем порт отличается от сокета
AV> и для чего в sockaddrin присутствует sinaddr.

а.. вот оно что =)

AV> Так-то!

Перед тобой человек с двумя гуманитарными образованиям =)


--
С уважением, Николай.
Jabber: teabbs@jabber.ru
... А в небе надо мной все та же звезда, не было другой и не будет.
--- GoldED+/LNX 1.1.5-b20130910, CentOS Linux release 7.0.1406 (Core)

Vladimir Kalachikhin написал(а) к Alexey Vissarionov в Mar 15 21:42:38 по местному времени:

Нello, Alexey!

> И хотя бы немного представлять себе, как работает TCP/IP - в частности, чем порт отличается от сокета и для чего в sockaddrin присутствует sinaddr.

Круто. Поэтому скажи - почему обрывается соединение?
Делаю соединение на одну машину - держится стабильно неделю. Всё работает, есть трафик через соединение или нет.
Делаю такое же соединение - с того же сервера, но на другую машину - обрывается через сорок минут примерно после прекращения трафика.
Конфиги на обеих машинах умолчальные и одинаковые.

Есть параметр, запрещающий обрывать соединение при отсутствии трафика?

WBR, Vladimir Kalachikhin.

--- wfido

Alexey Vissarionov написал(а) к Vladimir Kalachikhin в Mar 15 12:12:12 по местному времени:

Доброго времени суток, Vladimir!
03 Mar 2015 21:42:38, ты -> мне:

>> И хотя бы немного представлять себе, как работает TCP/IP
VK> Круто. Поэтому скажи - почему обрывается соединение?

К.О. спешит на помощь: по таймауту.

VK> Делаю соединение на одну машину - держится стабильно неделю.
VK> Всё работает, есть трафик через соединение или нет. Делаю
VK> такое же соединение - с того же сервера, но на другую машину -
VK> обрывается через сорок минут примерно после прекращения трафика.
VK> Конфиги на обеих машинах умолчальные и одинаковые.

Попробую угадать: доступ ко второму серверу происходит либо через мелкий пластмассовый говнороутер, у которого переполняются таблицы NAT, либо через хитрожопый шлюз с DPI...

VK> Есть параметр, запрещающий обрывать соединение при отсутствии
VK> трафика?

Да. Более того: в некоторых случаях этого требуют нормативные документы.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Лучшее средство от похмелья - не пить накануне
--- /bin/vi

Vladimir Kalachikhin написал(а) к Alexey Vissarionov в Mar 15 18:25:06 по местному времени:

Нello, Alexey!

> К.О. спешит на помощь: по таймауту.

Умён!

> Попробую угадать: доступ ко второму серверу происходит либо через мелкий пластмассовый говнороутер, у которого переполняются таблицы NAT, либо через хитрожопый шлюз с DPI...

Хитрожопый шлюз там присутствует, но с высокой вероятностью - один и тот же для обоих машин...

VK>> Есть параметр, запрещающий обрывать соединение при отсутствии
VK>> трафика?

> Да. Более того: в некоторых случаях этого требуют нормативные документы.

Ну так колись? Можно ли что-то сделать на машине-приёмнике канала? На транзитной машине?

WBR, Vladimir Kalachikhin.

--- wfido

Alexey Vissarionov написал(а) к Vladimir Kalachikhin в Mar 15 10:14:44 по местному времени:

Доброго времени суток, Vladimir!
04 Mar 2015 18:25:06, ты -> мне:

>> Попробую угадать: доступ ко второму серверу происходит либо через
>> мелкий пластмассовый говнороутер, у которого переполняются таблицы
>> NAT, либо через хитрожопый шлюз с DPI...
VK> Хитрожопый шлюз там присутствует, но с высокой вероятностью - один
VK> и тот же для обоих машин...

Какое-нибудь страдающее настраиваемым склерозом поделие наподобие ASA?

VK>>> Есть параметр, запрещающий обрывать соединение при отсутствии
VK>>> трафика?
>> Да. Более того: в некоторых случаях этого требуют нормативные
>> документы.
VK> Ну так колись? Можно ли что-то сделать на машине-приёмнике канала?
VK> На транзитной машине?

Можно.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Надо водки купить, пока все деньги не пропили
--- /bin/vi