Navegar con tunel ssh en la LAN con pfSense como bouncer
-
Hola
Leyendo: 4.10.6. Remotely Circumvent Firewall Lockout with SSH Tunneling, de la guia:
pfSense: The Definitive Guide -The Definitive Guide to the pfSense Open Source Firewall and Router DistributionHe probado a navegar desde un cliente de la LAN vía tunel SSH con pfSense como bouncer (servidor ssh donde establezco el tunel).
Pasos:
-Tener sshd habilitado y operativo en pfSense
- Si pfSense es administrable en la LAN vía https (tcp443) => usar tcp80 en la redirección, y sino viceversa, usar el tcp443
- Ejecutar desde shell en la máquina cliente (Un Debian/Linux):
ssh -C -D 80 192.168.0.254
Donde 192.168.0.254 es la IP LAN de pfSense
Si usas windows y putty:
-Configurar el navegador en el cliente, que use proxy socks (socks host) en 127.0.0.1 el puerto 80 (mi pfsense usa https tcp 443 para ser administrado)
Y ya se puede navegar vía tunel ssh con pfSense.
¿Para qué sirve esto?, pues a parte de https://doc.pfsense.org/index.php/Locked_out_of_the_WebGUI#Remotely_Circumvent_Firewall_Lockout_With_SSH_Tunneling
Si hay algún bad boy con sniffer en la LAN tu tráfico http y https irá encapsulado en un tunel ssh, doblando la seguridad en https y securizando http
Salu2
-
Muy bueno. habría que ver y probar la opción de ssh para que no salga el menú de pfSense en la terminal
-
Hola
Con la opción de ssh cliente de NON Interactive session.
ssh -N -C -D 80 10.168.0.254
Pruebalo.
Salu2
-
Muy interesante.
Yo lo utilizo mucho para acceder a equipos de la o las LANS atraves del tunel ssh, desde el lado de la WAN.
-
Hola
La finalidad que le dan en la doc de pfSense es para poder acceder a la GUI de pfSense vía http/https mediante tunel ssh, para cuando la GUI es inaccesible directamente por http/https
If access to the WebGUI has been completely blocked remotely (which is smart to do!) but SSH access is still available, then there is a relatively easy way to get in: SSH Tunneling.
Pero claro, la técnica esta, tiene más aplicaciones :)
Salu2