Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  5 10807
Hei, det er blitt en stund siden jeg var her inne,
men jeg trenger noen kreative hoder på dette.

Jeg har en (kunde sin) server, og alt jeg har åpent mot serveren er SSH.

Den kjører en applikasjon på port 7002, men listeneren hører kun på LAN IP.
Vanligvis kjører jeg firefox fra serveren gjennom xauth,
men det går så seint og jeg har en jobb og gjøre.
Jeg bruker 192.168.0.75 som eksempel.

Vanligvis så fyrer jeg bare inn en:

ssh -L 7002:localhost:7002 root@192.168.0.75

Så er vi i mål om den hører etter på 127.0.0.1:7002 eller *:7002,
men med 192.168.0.75:7002 fungerer det ikke,
og ssh tunnelen gir meg en

channel 3: open failed: connect failed: Connection refused

Jeg kan ikke rekonfigurere applikasjonene til å høre på *,
jeg kan installere extra programvare som socat.
Det er flere applikasjoner som jeg må gjøre dette med som er satt opp på denne måten,
så jeg trenger noe som jeg kan bruke hvor som helst.
Det å åpne firewallen er heller ikke innafor.

Om du vil emulere det selv, så kan man installere netcat, ssh og telnet.

kjøre (dette er ncat fra nmap) på serveren

nc -l -k 192.168.0.75 50000

og kjøre dette på lokal maskinen
ssh -L 50000:localhost:50000 root@192.168.0.75
telnet localhost 50000
Det var selinux

setenforce 0
Sist endret av Pyro_Killer; 6. november 2020 kl. 17:37.
Sitat av Pyro_Killer Vis innlegg
Det var selinux

setenforce 0
Vis hele sitatet...
Det er alltid selinux.
Btw., ifølge internett har du nettopp drept et lass med kattunger.
Sist endret av Myoxocephalus; 6. november 2020 kl. 17:57.
Jeg endte opp med å lage en modul med audit2allow og gjorde slik jeg skulle, men det ble litt langt å skrive.
Noe jeg kan bruke i fremtiden.

Den var ikke med i "getsebool -a",
ellers hadde jeg funnet den.

Småfrekk retroside du kom med der
Sist endret av Pyro_Killer; 6. november 2020 kl. 18:51.
Klimafiendtlig troll
Med en såpass hjemmesnekret løsning ville jeg ihvertfall ikke basert meg på å skru AV SELinux eller andre herdningssystemer. Typisk at det kommer oppdateringer som (korrekt) skrur dette på igjen globalt.

Litt off topic, men hvordan ser nettverket og brannmur(er) i denne løsningen ut?
Jeg er game for spørsmål, serveren kjører programvare for kunden,
og vi har eksterne overvåkningsprogrammer som passer på at ting er oppe.

Så vi har port 22, 1625 og 3865* åpen mot kunden,
kunden har vel 4992* tilbake til oss for å sende melding tilbake.
Dette ligger alt sammen inni en VPN tunnel.

Programmene som vi kjører for kunden kjører på port 8468, 7402 og 4584*.
Som jeg sa tidligere så pleier vi bare kjøre firefox gjennom xserver over SSH.

Vi trenger bare tilgang med bedre tilkobling mens vi oppgraderer, som er et dagsprosjekt.
Så jeg kunne bare slått av selinux for dagen og sette den på igjen da jeg var ferdig.

Slik ble regelen:
module ssh_tunnel 1.0;

require {
type abrt_dump_oops_t;
type sshd_t;
type ephemeral_port_t;
type afs_pt_port_t;
type squid_port_t;
type initrc_t;
type unreserved_port_t;
class tcp_socket { name_bind name_connect };
class cap_userns sys_ptrace;
}

allow sshd_t afs_pt_port_t:tcp_socket name_connect;

#!!!! This avc is allowed in the current policy
allow sshd_t ephemeral_port_t:tcp_socket name_connect;

#!!!! This avc has a dontaudit rule in the current policy
allow sshd_t squid_port_t:tcp_socket name_bind;

#!!!! This avc is allowed in the current policy
allow sshd_t unreserved_port_t:tcp_socket name_connect;
Vis hele sitatet...
På en tangent, grunnet en ubrukelig nettverksteknikker hos kunden,
og vi ikke fikk åpnet porten tilbake til overvåknings serveren.

Så satt kjørte jeg en:
ssh -R 4992:localhost:4992
laget et program som passet på tunnelen, og fikk den opp om den gikk ned.
Tror kanskje jeg brukte supervisord, har skrevet mittt eget senere.

la dette til hosts filen hos kunden:
127.0.0.1 overvakngingserver.no

Og hadde overvåkning uten problemer i 3 måneder til nettverksteknikkeren fant ut hvordan han skulle få åpnet porten tilbake.

Alt jeg måtte gjøre da de var ferdig var å forandre hosts-filen og slå av tunnelen.

Den var selvfølgelig ikke så heldig, men funket gjorde det

*Jeg har forandret portene bortsett fra 22 for å skjule identiteten min.
Sist endret av Pyro_Killer; 7. november 2020 kl. 15:14.