Conexión ssh por remoto sin manejar el router

Question

Conexión ssh por remoto sin manejar el router

mercucho1 13 sep 2012 14:13

Aki tamos

2.045 mensajes
desde nov 2004
en Málaga City

Hola! Pues tengo un problemilla que no se como resolver. A ver si me podeis echar una manilla...

Imaginaos que tengo varias maquinas con linux y su servidor ssh andando a la perfección. El problema, es que estas maquinas van a estar detras de un router al cual yo no tengo acceso, y aunque lo tuviera, están cambiando de ubicación constantemente, con lo que no es viable abrir puertos en el router. ¿Existe alguna alternativa para que yo me pueda conectar a la maquina por ssh sin necesidad de toquetear puertos? Ademas, tampoco se la ubicación [+risas]

, con lo que me tendría que instalar algo que me "anunciara" su dirección ip.

No se, pienso en algo parecido al logmein pero para ssh de linux, pero ni idea. Tengo la posibilidad de tener una maquina 24 horas encendida para instalarle cualquier software y haga de "centralita" por si la solución lo requiere.

6 respuestas

Answer 1 · 2012-09-13T13:33:57+00:00

mm... para saltarte el router/firewall... puedes probar a hacer un ssh inverso.

Answer 2 · 2012-09-13T13:34:04+00:00

Facil, lo que buscas es tener esas maquinas creando un túnel reverso hacia tu "centralita" para que luego te puedas conectar mediante ella. Seria algo como:

ssh -R 2001:localhost:22 user@centralita

ssh -R 2002:localhost:22 user@centralita

ssh -R 2003:localhost:22 user@centralita

En cada PC. Luego en tu PC centralita te conectas a la pc que necesites con:

ssh user@localhost -p 2001

ssh user@localhost -p 2002

ssh user@localhost -p 2003

Puedes mantener el tunel abierto hacia tu centralita mediante autossh que se encarga de monitorizar por si una conexion se cae.

Answer 3 · 2012-09-13T15:20:29+00:00

codestation escribió:Facil, lo que buscas es tener esas maquinas creando un túnel reverso hacia tu "centralita" para que luego te puedas conectar mediante ella. Seria algo como:

ssh -R 2001:localhost:22 user@centralita

ssh -R 2002:localhost:22 user@centralita

ssh -R 2003:localhost:22 user@centralita

En cada PC. Luego en tu PC centralita te conectas a la pc que necesites con:
ssh user@localhost -p 2001

ssh user@localhost -p 2002

ssh user@localhost -p 2003

Puedes mantener el tunel abierto hacia tu centralita mediante autossh que se encarga de monitorizar por si una conexion se cae.

muchas gracias!! bueno, aunque todavía estoy intentado de asimilarlo [+risas]

si es la centralita accesible en todos sus puertos desde internet... ¿puedo acceder remotamente a esos puertos "tunel" o solo se puede acceder de forma local? A lo que me refiero es si funciona ejecutar esto desde una tercera ubicación...

ssh user@centralita -p 200X

Por cierto, para ver las maquinas conectadas a la centralista se haría con el siguiente comando?

netstat -a | grep :22

Aunque he visto algo como gSTM...

gracias de nuevo!

Answer 4 · 2012-09-13T17:55:02+00:00

mercucho1 escribió:muchas gracias!! bueno, aunque todavía estoy intentado de asimilarlo si es la centralita accesible en todos sus puertos desde internet... ¿puedo acceder remotamente a esos puertos "tunel" o solo se puede acceder de forma local? A lo que me refiero es si funciona ejecutar esto desde una tercera ubicación...

Supongo que podrias hacer un (1)

ssh -L 2001:localhost:2001 -L 2002:localhost:2002 -L 2003:localhost:2003 user@centralita

desde la tercera ubicación, dejar la conexión abierta para finalmente hacer un (2)

user@ubicacion3 $ ssh localhost -p 2001

Desde la comodidad de tu tercer pc.

Con la conexion de (1) podrias dejar corriendo un netstat + watch para ver que pc tienen el tunel levantado en la centralita.

Answer 5 · 2012-09-13T18:38:27+00:00

he visto que algunas empresas consiguen capar este tipo de conexiones para que sus trabajadores no hagan conexiones inversas para entrar desde fuera. Alguien sabe como lo hacen? ya que os saltáis el firewall.... al menos comentar como bloquearlo

Answer 6 · 2012-09-13T21:57:36+00:00

KiAn escribió:he visto que algunas empresas consiguen capar este tipo de conexiones para que sus trabajadores no hagan conexiones inversas para entrar desde fuera. Alguien sabe como lo hacen? ya que os saltáis el firewall.... al menos comentar como bloquearlo

Nose, me imagino que añadiendo reglas al firewall, si el firewall lo permite incluso capando a nivel de aplicación. Por defecto los firewall no suelen permitir las conexiones entrantes y si las salientes, pero nadie te impide modificar esto.

Permitiendo solo trafico http y puerto 80... ya tienes bloqueado bastante...