Piotr Konieczny

Na pewno nie działało na 443? To bardzo dziwne, bo oznaczałoby że:
- nie działałby wtedy zwykły https,
albo:
- robią tam bardzo mocne cyrki z podmienianiem certyfikatów https w locie, albo proxy wymaga autoryzacji?

Jak chcesz mogę wystawić u mnie na :443 aby to przetestować dla pewności.

Jakieś pomysły opisane są tu:
http://dag.wieers.com/howto/ssh-http-tunneling/
http://www.agroman.net/corkscrew/

Bzdury gadam, fakt że proxy na :443 zezwala na metodę CONNECT, nie oznacza automatycznie że łatwo w to wpuścić standardowe ssh.

BTW, po wyslaniu komentarza do dostaję 404 z joggera.

Co do ssh: może wsh (http://gray-world.net/pl/pr_wsh.shtml), albo ajaxterm?

1) PSI to nie jest multikomunikator
1a) Na niektórych serverach jabbera jest dostęp przez port 80 (ale bez ssl/tls).
2) Nie masz dostępu do kogoś, kto mógłby ci puścić ssh przez 80? To byłoby najprostsze rozwiązanie.
3) Kolega mojego kolegi (obaj pracują w dużej zagranicznej firme paskudnymi firewallami) napisał sobie podpobno jakiś soft, który identyfikuje połączenia jako IE i dzięki temu przechodzi. Szczegółów niestety nie znam (i zapewnie raczej chodzi o ICH proxy), ale może znalazłoby się coś podobnego.

4) Zapomniałem... Probowałeś Google Talk? On ma polling przez 80 (można do niego podpiąc transporty, jedna poważan wada, no offline msg jak na razie). Oczywiscie jest też, wersja WWW w gmailu. Nie sprawdzałem jak to działa na F/W, i wg specyfikacji potrzebuje też inych portów niż 80 żeby mieć VOiP (BTW, często lepszy niż Skype), ale może warto spróbować.

ja bym zmienił ISP natychmiast bez zastanowienia....

Wystaw http tunnel do serwera na którym masz konto i po sprawie :)
http://www.nocrew.org/software/httptunnel.html
Jeśli zapakujesz go jeszcze w SSL na port 443 - przeskoczysz każde proxy. W pewnej firmie (której nazwy nie wspomnę) omijałem w ten sposób Websesna.

Może opiszę jak to zrobić:
1. Na serwerze gdzie masz SSH stawiasz serwer httptunel - kierujący połączenia na adres 127.0.0.1:22
2. Na domowym kompie odpalasz (podając adres proxy) klienta httptunel który zaczyna słuchać na lokalnym porcie
3. SSH na 127.0.0.1 o odpowiednim portem i po sprawie ....

Warto jeszcze na końcu i początku zapakować tunel w SSL (np. stunnelem) - wtedy można go wykryć tylko metodami statystycznymi.

BTW - Podpisujesz się jako konsultant do spraw bezpieczeństa, jestem zaskoczony, że nie znasz tego softu ... to klasyka problemów security ....

"W sumie mógłbym i sam coś napisać w perlu... tylko ciężko jest projektować aplikację opartą o protokół, do którego nie ma się dostępu :-( "

http://search.cpan.org/search?query=ssh&mode=all

Swojego czasu pisałem takie coś jak remote reverse shell więc jakby postawić na 80 to sprawowałoby się całkiem nieźle, z tym, że to było dość tandetne i zapomnij o możliwościach normalnego terminala ;>

A co do UK i ich faszystowskich restrykcji... nie wiem czy zauważyłeś ale w UK są takie śmiszne czerwone budki w których można pograć w jakieś durne gierki i 'skorzystać z sieci', przy czym google są wycięte, a całość chyba na yahoo z restrykcjami stoii ;/
Kiedyś udało mi się jednak sposobem dość na około dostać na google (php w yahoo, wyskoczyły jakieś oferty kursów, na jednej z nich znalazłem php.net (bo wyniki yahoo też są jakoś obcinane sic!) i z php.net bodajże na google), ale po wklepaniu czegokolwiek na googlach 'Administratively prohibited czy jakoś tak' :)
Co ciekawesz sprawdziłem ten sam numer chyba na dwa dni później i już na google się nie dało wejść...

Brytyjczycy to poważnie faszyści a 'V for Vendetta' zaczynam odbierać coraz bardziej poważnie ;-)

"Przykro jednak, że musiałem założyć nowe konto, żeby ocalić swój adres e-mail przed spamem — Google nie pozwala na modyfikację adresu nadawcy i nie stosuje żadnej ochrony antyspamowej :-("

Jak to nie ma ochrony? Wystarczy nie wpisywać w pole "Nazwa" adresu (a sporo osób tak robi) i jest on (chyba skutecznie) ukryty przed robotami za pomocą captcha (z alternatywną wersją dla niewidomych).

W jakim WIKI? W wiki to ogólnie jest masa błedów. W koncu to message board a nie encyklopeida :)
jabber.wp.pl i jabber.autocom.pl - połączenia przez 80. Z czego polecam ten drugi bo, kontakt z adminem jest bezproblemowy a sam serwer Wymiata :D

Piotrze - ale gdyby odpalić serwer SSH na 80 porcie, i łączyć się z nim bezpośrednio, bez proxy?

A widziałeś to, co Tobie podałem ? Nie musisz znać protołu SSH żeby sobie napisać skrypt CGI w perlu do obsługi ssh ;)

Piotrze - a mógłbyś jeszcze wystawić jakiegoś linka, do configa i styli tego swojego CGI-IRC upodobnionego do irssi? To by mi zaoszczędziło trochę grzebania ;)

Chętnie zapoznam się z wynikiem ostateczynym prac na walką z obejściem tak restrykcyjnego Proxy.

> A co do httptunnelu, trzeba miec dostep do serwera, zeby to skonfigurowac. Ja nie mam, bo ssh wyciete :-)

Jeżeli nadal masz problem, a jest na świecie komp, w którym możesz "pogrzebać" (choćby po to aby postawić tam hts) i jest tam sshd to może da się zorganizować do niego jakiś pomost" ;) na czas konf. hts'a.

PS. W sprawie ewen. "pomostu" możesz na priv (ma_ksywa_na_googlowej_poczcie)

> ...(proxy nie forwarduje protokołu SSH),...

Tak sobie jeszcze raz zajrzałem tu i próbuję zrozumieć co znaczy, że proxy nie "forwarduje" ssh tj. czy nie jest forward mylony z tunnel (zakładam, że nie, więc dalej...)

> Wspomniałem o tunelowaniu przez port 443, które nie wyszło i domysłach, że blokowany jest protokół SSH, a nie tylko numerki portów.

Czyli rozumiem, że próbowałeś takich narzędzi jak corkscrew lub proxytunnel. Jeżeli tak to masz do czynienia oprócz z dobrze skonfigurowanym Proxy (choć brak HTTP_CONNECT jest raczej niemożliwy bo widziałem GMail na screenie wieć i ssh przepuści) to dodatkowo za nim stoi precyzyjny firewall tj. pyta pakiety (niezależnie od portu po którym idą) czy nim mają "główki" ssh i to on je odrzuca.

Jak dla mnie to (na mój obecny stan wiedzy) jednak pozostaje ssh opakowane w httptunnel (na 80 port) i programy uruchamiane przez tsocks.

Jeszcze raz powodzenia w SSH via CGI ;)

Z całym szacunkiem, marny z ciebie "specjalista od security" ;)

Proxy prawdopodobnie filtruje protokół (sprawdza zawartość pakietów). Sam mam taką zaporę w firmie i też blokuje wszystkie porty, a www działa tylko przez proxy (z listą blokowanych słów). Najsmutniejsze jest to, że sam je konfigurowałem.

Jeśli chcesz ominąć proxy, to nic prostszego niż użycie szyfrowanego połączenia SSL, tego proxy raczej w locie nie rozkoduje, (teoretycznie możliwe, ale popularny soft tego nie obsługuje z przyczyn oczywistych - byłoby to nielegalne) zakoduj zwyczajnie tunel pomiędzy twoim komputerem a maszyną docelową protokołem HTTPS.

Zwykły forward portów nie wystarczy z prostej przyczyny - albo proxy jest przezroczyste i firewall automatycznie rutuje ruch wychodzący do proxy (a proxy nie rozumie protokołu SSH i oczekuje nagłówków żądania HTTP), albo proxy nie jest przezroczyste i firewall zwyczajnie DROPuje twoje pakiety.

Niezależnie, która z powyższych opcji jest prawdziwa, nie obędzie się bez dodatkowego softu po obu stronach połączenia.

A nie możesz tego zbootstrapować przez wgranie softu na serwer i uruchomienie przez skrypt CGI daemona stunnel z timeoutem, który pozwoli ci z niego skorzystać, zalogować się i uruchomić już "normalnie"?

byłem w podobnej sytuacji - moje okno na świat miało rozmiar tylko jednego portu - portu 80. Z pomocą przyszedł wpominany tutaj httptunnel. Po drugiej stronie na jednej z maszyn postawiłem httptunnel przekierowujący z portu 80 na port 22.

Udało się.

ja u siebie tez mam problem... mam internet tylko przez proxy... zainstalowalem hamachi... i wpisalem tam to proxy.. dostalem adres 5.x.x.x i teraz moge laczyc sie ze wszystkimi ktorzy maja hamachi... czyli wystarczy w moim przypadku po drugiej stronie zainstalowac jakis serwer proxy... zebym wpisal sobie wlasnie u siebie w domku proxy w przegladarce... i ogien,... wszystko powinno dzialac :) tylko szukam wlasnie serwera proxy..(jakiegos prostego) pod windows xp... bo chcialem zrobic serwer proxy na uczelni... :] pozdro

proxytunnel -v -a 443 -p proxy:8080 -u nazwausera -d gdzies w swiecie:443
Proxytunnel 1.6.0
Copyright 2001-2006 Proxytunnel Project
Jos Visser (Muppet) <josv@osp.nl>, Mark Janssen (Maniac) <maniac@maniac.nl>

Purpose:
Build generic tunnels trough HTTPS proxy's, supports HTTP authorization

Usage: Proxytunnel [OPTIONS]...
-h --help Print help and exit
-V --version Print version and exit
-i --inetd Run from inetd (default=off)
-a INT --standalone=INT Run as standalone daemon on specified port
-e --encrypt encrypt the communication using SSL
-x STRING --proctitle=STRING Set the process-title to STRING
-p STRING --proxy=STRING Proxy host:port combination to connect to
-d STRING --dest=STRING Destination host:port to built the tunnel to

Parameters for proxy-authentication (not needed for plain proxies):
-u STRING --user=STRING Username to send to HTTPS proxy for auth
-s STRING --pass=STRING Password to send to HTTPS proxy for auth
-U STRING --uservar=STRING Env var with Username for HTTPS proxy auth
-S STRING --passvar=STRING Env var with Password for HTTPS proxy auth
-N --ntlm Use NTLM Based Authentication
-t STRING --domain=STRING NTLM Domain (default: autodetect)
-r STRING --remproxy=STRING Use a remote proxy to tunnel over (2 proxies)
-H STRING --header=STRING Add STRING to HTTP headers sent to proxy

If you don't provide -s or -S you will be prompted for a password.

Miscellaneous options:
-v --verbose Turn on verbosity (default=off)
-q --quiet Suppress messages (default=off)

Examples:
Proxytunnel [ -h | -V ]
Proxytunnel -i [ -u user ] -p proxy:port -d host:port [ -v | -q ]
Proxytunnel -i [ -U envvar ] -p proxy:port -d host:port [ -v | -q ]
Proxytunnel -a port -p proxy:port -d host:port [ -v | -q ]

http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/

Przeciez mozna puscic caly ruch np. tunelem stworzonym przy uzyciu putty. Tunel robisz na jakis ogolnie dostepny (a przede wszystkim dostepny z shella) proxy. Jesli akceptowany jest tylko ruch wychodzacy przez port 80, to lacz sie z shellem przez proxy, ktory dziala na tym porcie.

No chyba ze zeczywiscie badaja pakiet po pakiecie i sprawdzaja, czy na porcie 80 idzie tylko http.

elo mam internet w bt i mieszkam w szkocji chcem se zalozyc serwer w jednej grze (tibia) ale nie moge poniewaz mam zablokowany port nie jestem zbyt bystry wiec dajcie proste instrukcje wysylajcie je na email saruman327@wp.pl

Jeżeli chodzi o SSH Rootnode przychodzi z pomocą :)

http://rootnodestatus.net/?p=545

od kilku miesięcy serwery są już na tyle stabilne, że jestem skłonny polecić :)