[Resolu] Ds213J - Alternative

[Gratinours]

Bonsoir à tous,

Dans mon but ultime de pouvoir améliorer mes capacités de travail au boulot surfer sur mon pc et plus sur mon telephone au boulot, je souhaiter créer un tunnel SSH.

Jusqu'à aujourd'hui, j'arrive à me connecter au travers du proxy entreprise grace à putty au port 22 de la boite (l'un des rares ouverts avec le 443).

Mais le tunnel SSH (redirection port sous putty par le port 22 et localhost+socks5 sous firefox) ne marche pas.

On m'a alors dit alors qu'il fallait installer Squid pour cela.

- message reçu chef -

installer squid :

===========> installer IPKG

==============> recuperer un bootstrap pour le DS213j

================> pas de bootstrap

===========> pas d IPKG

=======> pas de squid

donc ma question: existe il une alternative à squid? peut on installer squid meme s'il faut en baver?

++: qq peut il m'expliquer pourquoi le socks 5 ne marche pas sans squid

merci d'avance à toute la communauté!

Modifié le 18 novembre 2013 par Gratinours

[Fravadona]

Quel DiskStation as-tu ?

[Gratinours]

un DS213j

[Fravadona]

Le proxy SOCKS 5 fonctionne chez moi

[Gratinours]

en fait, ca marche shame on me <> Avant d'essayer au boulot, j'aurais du essayer depuis un système moins sécurisé.

et merci Fravadona! savoir que ca marche chez qq d'autre m'a bien motivé pour continuer mes tests!!!! une petite question encore (plus loin)

donc pour résumé, depuis chez moi, en utilisant la 3g du telephone comme reseau, via le port 443, tunnel ssh putty et socks 5, il me redirige bien sur mon internet et je peux surfer "'comme" à la maison (la vitesse en moins bien sur!!)

mais alors, quel système l'admin reseau de ma boite peut il mettre pour contrer ça et m'empecher le meme système depuis mon poste?

Pouvant ouvrir une connection ssh depuis le bureau, à quel niveau peut il bloquer? je ne comprends pas

(ps: se pourrait il qu'utilisant le port 22 comme redirection, il bloque plus loin dans le chemin du reseau et qu'en passant la redirection par le port 443, cela se regle?)

parole de newbie NAS : j adore ce bout de plastique blanc, je vais regarder le blog photo, peut etre utile comme je suis photographe

Modifié le 14 novembre 2013 par Gratinours

[Fravadona]

Sur quel port fais-tu tourner ton SSH ? 443 ? Peux-tu te connecter par ssh a ton NAS depuis le travail ?

[Gratinours]

je faisais tourner mon ssh sur le port 22 au boulot. j'arrivais à y acceder et à me logger dessus.

C'est l'étape d'après qui bloque. En ayant mis le proxy socks dans firefox, message d'erreur (je me souviens plus lequel, demain je te dirais)

[Gratinours]

rebonjour à tous,

donc en essayant à nouveau et en passant par le port 443, j'ai le droit à :

The connection was reset

The connection to the server was reset while the page was loading.

voili voilou, je suis bloqué :')

mon système est le suivant:

chez moi:

......sur la box: redirection du port 443 vers le port 22

......sur le nas: activation ssh

au boulot:

.....putty: _connection sur le port 443

..............._tunnel dynamique sur le port 443

..............._renseignement proxy entreprise

....firefox: _manual proxy connection

................_socks host: localhost : 443

résultat: je me connecte sans probleme sur mon terminal en SSH via putty mais echec sous firefox (message plus haut)

[Fravadona]

- tu renseignes le proxy de ton entreprise dans putty ?

- n'utilises pas 443 pour le port sur localhost mais plutot un port au dessus de 1024

[Gratinours]

- tu renseignes le proxy de ton entreprise dans putty ?

si je ne le renseigne pas, je n'arrive pas à me connecter à mon ssh (connecter à mon ssh, me parait pas français ça, comment qu'on dit correctement?).

- n'utilises pas 443 pour le port sur localhost mais plutot un port au dessus de 1024

je comprends pas la

si je me connecte en ssh par le port 443 depuis le bureau, je dois pas tunneler par le port 443?

(ma boite a laissé ouvert le port 443 (et le aussi mais je l'utilise déjà...)et 2-3 autres mais bloque les autres (pas tous testé non plus))

[Fravadona]

As-tu acces a DSM sur 5000 ou 5001 sans passer par le proxy ?

PS: Le port que tu utilises pour le tunnel du cote de ton poste au travail importe peu, mais il est preferable de le mettre dans la plage de ports "user" (> 1024).

[Gratinours]

non, aucun acces! le site est inacessible. A mes yeux, les ports sont bloqués. d'où l'acces par le port pour le DSM et par le 443 pour le ssh (et le 21 pour le ftp ^^)

je vais esayer lundi avec d'autres port dans le tunnel! je croise les doigts.

Si je mets par ex le port 2000 dans le tunnel, je dois parametrer comment firefox et mon routeur? je suis perdu là. Putty redirige toutes mes requetes?

Modifié le 15 novembre 2013 par Gratinours

[Fravadona]

N'oublies pas de rajouter l'exception localhost et 127.0.0.1 dans la configuration du proxy de tes navigateurs.

[Gratinours]

merci pour tous tes conseils, j'essaierais tout ça lundi!!!

bon week end!

[Gratinours]

Ca marche!

problème résolu: utilisation de l'user ROOT au lieu de ADMIN (les fichiers de paramètres appartiennent à ROOT)

=> redirection des ports sur le routeur (ma box)

=> connection par putty sur le port ouvert par mon entreprise + redirection dynamique d'un port

=> connection par SOCKS5 sur "localhost : port dynamique" / exception localhost, 127.0.0.1

nouveau problème: autoriser un user autre que ROOT => nouveau TOPIC (mais en cas, si des recherches ne retournent rien)

merci!!

[Fravadona]

As-tu essaye avec un utilisateur standard different de admin ?

[Gratinours]

oui,

je peux me connecter avec admin et root.

Avec un autre user, juste après avoir entré le mot de passe, la fenetre de putty se ferme.avec: "Permission denied. Please try again"

J'en déduis que je dois autoriser d'autres users à se connecter en ssh (mais je sais pas comment, et j'ai pas encore cherché, un ami m'a fait découvrir couchpotato, siclbeard et xbmc entre temps )

je découvre des trucs nouveaux tous les jours! Ca s'arrete jamais?

Modifié le 19 novembre 2013 par Gratinours

[Fravadona]

A la fin du fichier /etc/ssh/sshd_config il y a

# Example of overriding settings on a per-user basis
Match User root
#       X11Forwarding no
        AllowTcpForwarding yes
#       ForceCommand cvs server

Il faudrait ajouter

Match User monutilisateurlocal
        AllowTcpForwarding yes

Et relancer le service SSH

[catimimi]

Bonjour,

Ne pas oublier que contourner les protections de son entreprise est une cause de licenciement pour faute. (jurisprudence)

Cordialement.

Michel.

[Gratinours]

Merci pour le rappel du point de vue juridique. mais c'est plus fort que moi. je me sens traqué avec le proxy du boulot. (...ca tiendra pas comme défense, dites? meme en pleurant?) C'est un risque.

Pour ajouter l'acces SSH, ca a marché. J'ai aussi modifié le /etc/passwd pour rajouter : "/bin/ash" à mon utilisateur

mais le tunnel marche pas avec cet utilisateur. meme en rajoutant le allowtcpforwarding.

plus gros probleme, vous sauriez pas comment on ecrit sur un fichier, disont le "/etc/passwd", quand un boulet (me) pensant que tout marchait a désactivé l'interface ssh de root (/bin/ash/ => /sbin/nologin) pour faire un semblant de sécurité? et que le fichier /etc/password appartient à l'user et au groupe root ^^

[Fravadona]

La t'es foutu ... a moins de pouvoir brancher tes disques sur une station Linux pour modifier le fichier /etc/passwd, tu devras passer par un reset

Pour la partie juridique, c'est la charte informatique de ton entreprise qui defini ce que tu a le droit de faire ou pas. Generalement elles sont assez evasives , donc la seule chose que tu risques est de te faire taper sur les doigts.

PS: N'oublies pas de desactiver le servcice SSH apres une modification de /etc/ssh/sshd_config , puis de le reactiver

Modifié le 20 novembre 2013 par Fravadona

[Gratinours]

Merci pour tous!

je reviens vers vous si j'ai encore des soucis, que le reset est fait et que j'ai fini de manger mes chips!