Added cover and link to pdf for jasmina

[sites/home_page.git] / hints / ssh.html

<html><head><title>По ssh через firewall-ы</title></head>
<meta name="description" content="Скрипт для хождения по ssh внутрь
локальных сетей, если у вас есть логин на gateway">
<body>


<h1>По ssh через firewall-ы</h1>
<p>
Нет ничего сложного в том, чтобы зайти по ssh на машину за файрволл-ом с
NAT, если у вас есть логин на сам firewall. Особенно, если на этом
firewall-е установлен netcat.
</p>
<p>
У openssh есть полезная опция ProxyCommand, которая может быть использована
для этой цели. Например можно написать в свой <tt>.ssh/config</tt>

</p><pre> Host *.intranet.mycompany.com
 ProxyCommand ssh firewall.mycompany.com nc -q 0 %h 22
</pre>
<p>
После этого при попытке пойти по ssh на любой хост в домене
intranet.mycompany.com будет производиться запуск netcat на машине
firewall.mycompany.com, который и будет доставлять информацию от вашего
ssh на 22 порт требуемой машины (обратите внимание на опцию -q 0).
</p>
<p>
Проблемы возникают если ваша машина &#8212; ноутбук, и находится то в
корпоративном интранете, то только снаружи.
</p>
<p> Нижеприведенный шелловский скрипт эту проблему решает. К нему
имеется файл конфигурации, в котором описывается список nat-сетей, в
которые хочется ходить по ssh. 
</p><p>
Предусмотрены две директивы:
</p><dl>
<dt>add_domain <i>domain</i> <i>host...</i>
</dt><dd>Задает список хостов, которые принадлежат некоторой сети. В случае
если скрипт вызван с указанием одного из этих хостов без домена,
считать, что хост принадлежит указанному домену
</dd><dt>proxy <i>proxy_host</i> <i>domain_mask</i>
</dt><dd>Указывает на какой машине следует запускать netcat для доступа к
хостам указанного домена. <i>domain_mask</i> может содержать звездочки и
другие метасимволы, допустимые в команде <b>case</b> shell. С маской
сопоставляются имена хостов, дополненные доменными именами в
соответствии с командой add_domain.
</dd>
<table border="0"><tbody><tr>
<td bgcolor="#000000">
<font color="#ffffff"><pre><font color="#8080ff">#!/bin/sh</font>
<font color="#00ffff">host</font>=<font color="#ff40ff">$1</font>
<font color="#ffff00">shift</font>
declare <font color="#ff40ff">-a</font> OPTIONS
<font color="#00ffff">myhost</font>=<font color="#ff40ff">`hostname -f`</font>
add_domain() <font color="#ff40ff">{</font>
    <font color="#00ffff">domain</font>=<font color="#ff40ff">$1</font>
    <font color="#ffff00">shift</font>
    <font color="#ffff00">for</font> i <font color="#ffff00">do</font>
        <font color="#ffff00">if</font> <font color="#ffff00">[</font> <font color="#ffff00">"</font><font color="#ff40ff">$i</font><font color="#ffff00">"</font> <font color="#ffff00">=</font> <font color="#ffff00">"</font><font color="#ff40ff">$host</font><font color="#ffff00">"</font> <font color="#ffff00">]</font><font color="#ffff00">;</font> <font color="#ffff00">then</font>
            <font color="#00ffff">host</font>=<font color="#ff40ff">$host</font>.<font color="#ff40ff">$domain</font>
            <font color="#ffff00">return</font>
        <font color="#ffff00">fi</font>
    <font color="#ffff00">done</font>
<font color="#ff40ff">}</font>
proxy() <font color="#ff40ff">{</font>
    <font color="#ffff00">[</font> <font color="#ffff00">-n</font> <font color="#ffff00">"</font><font color="#ff40ff">$OPTIONS</font><font color="#ffff00">"</font> <font color="#ffff00">]</font> <font color="#ffff00">&amp;&amp;</font> <font color="#ffff00">return</font>
    <font color="#ffff00">case</font> <font color="#ffff00">"</font><font color="#ff40ff">$host</font><font color="#ffff00">"</font> <font color="#ffff00">in</font>
    <font color="#ff40ff">$2</font><font color="#ffff00">)</font>
        <font color="#ffff00">case</font> <font color="#ffff00">"</font><font color="#ff40ff">$myhost</font><font color="#ffff00">"</font> <font color="#ffff00">in</font>
        <font color="#ff40ff">$2</font><font color="#ffff00">)</font>
            <font color="#00ffff">OPTIONS</font>=<font color="#ffff00">""</font>
        <font color="#ffff00">;;</font>
        *<font color="#ffff00">)</font>
        <font color="#00ffff">OPTIONS</font>=<font color="#ffff00">"</font><font color="#ff6060">-o </font><font color="#ff40ff">\"</font><font color="#ff6060">ProxyCommand /usr/bin/ssh </font><font color="#ff40ff">$1</font><font color="#ff6060"> nc -q 0 %h 22</font><font color="#ff40ff">\"</font><font color="#ffff00">"</font>
        <font color="#ffff00">;;</font>
        <font color="#ffff00">esac</font>
    <font color="#ffff00">;;</font>
    *<font color="#ffff00">)</font> <font color="#00ffff">OPTIONS</font>=<font color="#ffff00">""</font>
    <font color="#ffff00">;;</font>
    <font color="#ffff00">esac</font>
<font color="#ff40ff">}</font>
source <font color="#ff40ff">${</font><font color="#ff40ff">HOME</font><font color="#ff40ff">}</font>/.rsrc

<font color="#ffff00">[</font> <font color="#ffff00">-n</font> <font color="#ffff00">"</font><font color="#ff40ff">$1</font><font color="#ffff00">"</font> <font color="#ffff00">]</font> <font color="#ffff00">||</font> <font color="#ffff00">set </font><font color="#00ffff">exec</font> <font color="#ffff00">'</font><font color="#ff6060">$SHELL</font><font color="#ffff00">'</font> <font color="#00ffff">--login</font>
<font color="#ffff00">eval</font> <font color="#ffff00">exec</font> <font color="#ffff00">"</font><font color="#ff6060">/usr/bin/ssh -t </font><font color="#ff40ff">${</font><font color="#ff40ff">OPTIONS</font><font color="#ff40ff">}</font><font color="#ff6060">  </font><font color="#ffff00">"</font><font color="#ff40ff">$host</font><font color="#ffff00">"</font><font color="#ff6060"> LANG=</font><font color="#ff40ff">\$</font><font color="#ff6060">LANG </font><font color="#ff40ff">\"\$</font><font color="#ff6060">@</font><font color="#ff40ff">\"</font><font color="#ffff00">"</font>
</pre></font>
</td></tr></tbody></table>

Файл .rsrc может выглядеть, например, вот так:

<table border="0"><tbody><tr>
<td bgcolor="#000000">
<font color="#ffffff"><pre><font color="#ffff00">add_domain</font> home.ru dragon vasilisk hydra
<font color="#ffff00">add_domain</font> kontora.ru elk ibex bear wolf
<font color="#ffff00">proxy</font> gw.home.ru *.home.ru
<font color="#ffff00">proxy</font> firewall.kontora.ru *.kontora.ru
</pre></font>
</td></tr></tbody></table>

В результате использования такого файла
<ol>
<li> Короткие имена хостов  dragon, vasilisk и hydra будут расширятся
до dragon.home.ru, vasilisk.home.ru etc, независимо от того, в какой
сети сейчас машина.
</li><li> Аналогично имена хостов elk, ibex etc будут искаться в домене
kontora.ru
</li><li> Обращения к хостам домена kontora.ru будет происходить через прокси
gw.kontora.ru, если только мы не в локальной сети конторы (и по dhcp нам
не отдали доменное имя kontora.ru)
</li><li> Обращения к хостам home.ru будут происходить через gw.home.ru, если
только мы не в локальной сети home.ru
</li></ol>

</dl></body></html>