X11Farwarding con SSH e Netcat

2

Dalla mia macchina, devo connettermi attraverso i nodi A, B, e C, raggiungere target: 

localhost -> A -> B -> C -> target

Macchina A è configurato per rifiutare X11 Forwardingquindi suppongo che non dovrei essere in grado di aprire le interfacce grafiche attraverso le connessioni che passano attraverso ssh A.

Tuttavia, la configurazione ~/.ssh/config file e aggiungendo ProxyCommand sta usando netcat, Sono stato in grado di aprire un'applicazione grafica a target, semplicemente eseguendo ssh -XY target. L'installazione in ~/.ssh/config va come segue: 

Host A
    Hostname domainA
Host B
    Hostname domainB
    ProxyCommand ssh A nc %h %p
Host C
    Hostname domainC
    ProxyCommand ssh B nc %h %p
Host target
    Hostname domain-target
    ProxyCommand ssh C nc %h %p

La connessione stessa funziona, e io sto molto bene con quello. Succede, però, in realtà non ho capito cosa sta succedendo dietro le tende.

Quando corro ssh -XY target, cosa succede realmente, e perché è in grado di aprire la GUI tramite questo tunnel , anche se ospite A non permette X11 Forwarding?

Capisco che è bello mostrare un po 'di sforzo, quindi qui va più lontano sono riuscito a ottenere, cercando di capire l'esecuzione di cui sopra. Ho sostituito target con TARGETe host C con HOST_C. 

$ ssh -vXY TARGET
OpenSSH_6.2p2, OpenSSL 1.0.1e 11 Feb 2013
debug1: Reading configuration data /home/rubens/.ssh/config
debug1: /home/rubens/.ssh/config line 20: Applying options for TARGET
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Executing proxy command: exec ssh HOST_C nc TARGET 22
debug1: permanently_drop_suid: 1000
debug1: identity file /home/rubens/.ssh/id_rsa type 1
debug1: identity file /home/rubens/.ssh/id_rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0,
    remote software version OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: match: OpenSSH_5.9p1 Debian-5ubuntu1.1 pat OpenSSH_5*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: RSA (some numbers...)
debug1: Host 'TARGET' is known and matches the RSA host key.
debug1: Found key in /home/rubens/.ssh/known_hosts:51
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/rubens/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug1: Authentication succeeded (publickey).
Authenticated to TARGET (via proxy).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Requesting X11 forwarding with authentication spoofing.
Welcome to Ubuntu 12.04.2 LTS (GNU/Linux 3.2.0-48-generic x86_64)
...
rubens@TARGET:~
$ # prompt, and I'm able to open graphical apps, like gkrellm

La connessione sembra aver luogo prima con l'host C, che ha bisogno di connessioni precedenti (dipendenze di stacking di ricorsione a ritroso e risolverle in ordine LIFO).

All'host A, che è il primo livello di connessione, è il X11Forward permesso applicato? O crea semplicemente un tunnel di nc connessioni, fino alla macchina targete restituisce un socket aperto che uso in seguito in qualcosa di simile: 

ssh -XY (open socket resulting from connections A->B->C->target)

Se è così, va bene sono in grado di connettermi X11Forwarding? O forse c'è qualcosa di sbagliato nell'host A L'installazione?

networking  ssh  ssh-tunnel  x11-forwarding  netcat 
Rubens
fonte

Risposte:

2

L'host A non inoltra le connessioni X11, l'host C lo fa. Si connette all'host C e si apre un'applicazione X11 (client) che viene quindi visualizzata sul computer locale (server). La connessione viene passata attraverso i nodi intermedi A e B, ma questo non è correlato all'inoltro X che è impostato tra l'host locale e l'host C.

Nota: non hai bisogno di netcat, dato che usi OpenSSH che ha il -W opzione per quello scopo.

Marco
fonte
+1 -W %h:%p invece di nc %h %p funziona bene Eppure, non ho esattamente quello che succede quando mi connetto usando ssh -XY target. La connessione viene aperta attraverso i nodi intermedi e viene restituita una porta socket, a cui io in realtà ssh (socket)? O fare le connessioni agli host A, B, e C, prima di connettersi a target, esegui semplicemente le autenticazioni, senza essere effettivamente parte della pila di scambio di pacchetti (il pacchetto va da localhost - & gt; A - & gt; B - & gt; C - & gt; target, o, dopo l'autenticazione, solo localhost - & gt; target )?
Rubens
1
I pacchetti vengono passati attraverso ciascun nodo intermedio.
Marco
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.