pierloz.com

SSH non è soltanto un protocollo per stabilire sessioni remote sicure.

Esiste una tecnica, chiamata ssh tunneling che può rivelarsi molto utile.

A cosa serve

Immaginiamo questo scenario: ci sono due macchine (lan1 e lan2) all’interno di una rete locale, magari proprio la lan di casa vostra.

lan1 è dotato di server ssh ed è raggiungibile dall’esterno (supponiamo quindi che il router della rete locale abbia già definite le regole per il port forwarding).

lan2 al contrario non è raggiungibile dall’esterno  (e probabilmente non ha nemmeno un server ssh attivo). Su di esso però è in esecuzione un servizio aperto alla rete locale (ad esempio un web server).

La sfida che ci si propone di risolvere è:  data la macchina client situata al di fuori della rete lan, come ci si può connettere al servizio offerto da lan2?

Ssh tunneling

Grazie ad ssh è possibile stabilire una connessione tra client e lan1, e veicolare all’interno di questa connessione (ecco il motivo del nome “tunnel”) un qualsiasi traffico TCP.

Per stabilire il tunnel si utilizza su client1 un comando del genere:

ssh <ip pubblico lan> -L <porta locale>:<ip privato lan2>:<porta lan2>

Una volta autenticati su lan1, tutte le connessioni che si faranno da client1 verso localhost:<porta locale> verranno instradate tramite ssh a lan1 e infine alla porta su lan2.

lan1 diventa quindi il nostro ponte (o meglio, tunnel) verso lan2.

Fintanto che la sessione ssh rimarrà attiva si potrà usufruire del tunnel.

E’ bene notare un piacevole effetto collaterale dovuto all’uso di ssh: i dati, fino a lan1, viaggiano in modo sicuro grazie agli algoritmi di cifratura di ssh.

MidpSSH è un client per dispositivi che supportano j2me (cellulari principalmente) e permette di accedere tramite ssh o telnet ad host remoti.

L’ho usato per la prima volta l’estate passata, e mi ha piacevolmente impressionato.

Qualche settimana fa l’ho reinstallato sul mio motorola v360 per sfruttarlo in abbinamento alla semi-flat “Wind PASS” di wind, che al prezzo di 3 euro mensili concede un bonus di traffico pari a 10 MB di dati scambiati (una miseria, ma per un uso saltuario va più che bene).

Ho rispolverato la vecchia registrazione che avevo su dyndns.org e nattato sul router una porta scelta a caso redirezionandola sulla 22 del muloserver che tengo in mansarda (non è un bene avere proprio la 22 aperta, altrimenti sarebbe un brute-forcing continuo).

Il limite principale è la tastiera; in parte ho rimediato creandomi delle macro, ma l’inserimento di un semplice comando è spesso una tortura.
Tra le opzioni più carine c’è la possibiltà di flippare lo schermo e utilizzarlo in posizione orizzontale.

L’intera soluzione è perfettamente funzionante, e con un po di pazienza posso anche riagganciarmi alla sessione di screen nella quale faccio girare irssi, ovunque io mi trovi.

Il link al sito di midpSSH è questo: http://www.xk72.com/midpssh/index.php.