Доступ по SSH к закрытым натом станциям.

← →
Дмитрий С © (2012-07-14 20:27) [0]

Есть множество станций на которых установлен SSH сервер, но они закрыты натом той сети в которой находятся.

Вопрос: можно ли сделать так, чтобы можно было в любой момент получить к ним доступ?

Что для этого нужно? (желательно с минимальными затратами)

← →
turbouser © (2012-07-14 20:36) [1]

Пиво админу поставить

← →
Дмитрий С © (2012-07-14 20:49) [2]

> turbouser © (14.07.12 20:36) [1]

Какому?
Станция, например, может выходить в сеть через какой-нибудь мегафон модем.

← →
turbouser © (2012-07-14 20:56) [3]

> Дмитрий С © (14.07.12 20:49) [2]

а.. в этом смысле. так просто не получится. надо что бы клиенты имели хотя бы один прокси

← →
Дмитрий С © (2012-07-14 21:39) [4]

> turbouser © (14.07.12 20:56) [3]

Общий сервер есть (тоже под линуксом). Но нежелательно чтобы через него проходило много трафика.

← →
yurikgl © (2012-07-15 16:40) [5]

Т.е. есть некая локалка (сеть А), в которой есть SSH-сервера, и которая отделена от сети B (видимо, от интернета) NAT-м. NAT понят на шлюзе (компьютере или каком-то файрволе), подключенном к как к сети А, так и к сети B. В сети B находится компьютер, которому нужно достучаться до ssh-серверов в сети A. Вроде так?
Тогда нужно на шлюзе поднять статический NAT (проброс портов) на ip-ке шлюза, подключенного к сети B выделить какие-нибудь порты (скажем, 10000, 10001 и т.д.) и каждый из портов пробросить на нужный ip-к внутри сети A на порт SSH. Тогда с компьютера в сети B будешь подключаться по SSH на ip-к шлюза с явным указанием порта подключения (10000, 10001) и т.п. Каждый порт будет отвечать за одно устройство.

← →
Дмитрий С © (2012-07-15 22:23) [6]

> yurikgl ©

Идея правильная, но не осуществимая.

Я могу конфигурировать станции, я могу конфигурировать общий сервер (это такой компьютер, который однозначно прозрачно виден всеми станциями), но я не могу конфиругировать маршрутизаторы/шлюзы и прочее между ними.

Например, станция подключена к интернету через мегафон-модем. И в интернете есть некий сервер.
Имея это мне бы хотелось как-то получить доступ по SSH к станции.

Я так понимаю станция должна поддерживать связь с сервером, а я, при необходимости, подключаюсь используя эту связь.

Вот как это проще сделать?

П.С.
предположим, что станций может быть очень много (например, 2000 тыс).

← →
Медвежонок Пятачок © (2012-07-15 22:37) [7]

да никак ты не пройдешь по ссш если нат тобой не контролируется.

← →
Медвежонок Пятачок © (2012-07-15 22:47) [8]

нужна троянская программа на каждой из этих двух миллионов станций за мегафоновским натом. но это один фик не будет доступом по ssh

← →
Медвежонок Пятачок © (2012-07-15 22:51) [9]

причем троян должен быть активным а не пассивным, то есть соединение должно происходить по его инициативе.
а так как конкретный троян не в курсе, когда его услуги тебе потребуются, то получается, что все два лимона станций должны постоянно "висеть" на твоем сервере

← →
Дмитрий С © (2012-07-15 22:59) [10]

> нужна троянская программа

Зачем троян, я могу на эти станции установить что угодно совершенно честно.

← →
Медвежонок Пятачок © (2012-07-15 23:01) [11]

это и будет трояном. честным.

Дмитрий С
Ищите ответ в интернете.
Есть куча возможностей.

1) На всех клиентах поставить IPv6 клиент. Он пробьет NAT и все компьютеры будут в глобальной сети. Можно и на одном.

2) Организовать VPN.

К примеру в Kerio Win Route можно пробить нат через сервер.
Не лучший варинт.

3) Туннелирование. SSH поддерживает тунелирование.
Если запустить SSH с командой -R то
Когда клиент за NAT соединится с сервером в интернете он сможет получать команды от сервера. А на сервере надо просто настроить переброс данных с одного порта на другой или поднять SSH сервер.

все три с половиной пункта мимо кассы

> Дмитрий С © (15.07.12 22:23) [6]
>
> > yurikgl ©
>
> Идея правильная, но не осуществимая.
>

Значит тебе не повезло. В твоëм случае никак.

> можно ли сделать так, чтобы можно было в любой момент получить
> к ним доступ?
>
> Что для этого нужно? (желательно с минимальными затратами)

На всех хостах (клиентских и серверных), где предполагается юзать ssh-сервис, разверни любую vpn-приблуду а-ля Hamachi или TeamView.
Проще уже некуда.

>
>
> Я могу конфигурировать станции, я могу конфигурировать общий
> сервер (это такой компьютер, который однозначно прозрачно
> виден всеми станциями), но я не могу конфиругировать маршрутизаторы/шлюзы
> и прочее между ними.

Если этот сервер (находится в сети А) и действительно прозрачно виден снаружи (из сети B), что мешает на нем поднять статический NAT и выделить 2000 портов?
Кстати, как так он снаружи прозрачно виден? Для этого нужно на шлюзе NAT один-в-один настроить.

Доступ по SSH к закрытым натом станциям. Найти похожие ветки