Tunnelage SSH dans un aéroport

Dans un aéroport, vous devez généralement payer pour une connexion Internet. Lorsque vous ouvrez un navigateur, vous accédez à une page où vous pouvez acheter la connexion, ou saisir un nom d'utilisateur/mot de passe si vous avez un abonnement. Si vous ne le faites pas avant, toute communication réseau sera désactivée.

Si cela n'aide pas, essayez de changer le numéro de port SSH pour un port utilisé pour des choses qui seraient normalement autorisées, par exemple le port SMTP ou POP3. Le port 81 est souvent un bon candidat.

Essayez-vous de créer un tunnel sortant de votre PC vers le travail, ou un tunnel entrant du travail vers votre PC ?

Si c'est le cas, vous vous trouvez probablement dans une situation où le pare-feu du fournisseur d'accès bloque tout ce qui n'est pas HTTP/HTTPS sur des ports spécifiques. C'est inhabituel : je ne me souviens pas de la dernière fois où le trafic sortant arbitraire a été bloqué, et je n'ai généralement aucun problème à utiliser SSH pour accéder à mon ordinateur personnel. Si vous êtes bloqué, alors une sorte de tunnel HTTP (comme suggéré par d'autres posters) serait la seule option - bien que je ne puisse pas imaginer la surcharge que cela doit impliquer.

Si le problème est que vous ne pouvez pas ouvrir une connexion du travail vers votre ordinateur portable situé à l'aéroport (et je suppose que c'est ce que vous voulez puisque vous avez parlé des paramètres NAT), eh bien, vous n'aurez pas de chance pour une connexion directe. Vous avez très certainement une IP privée derrière le pare-feu de l'aéroport, il n'y a donc aucun moyen d'acheminer les paquets vers vous.

L'alternative consiste à établir deux tunnels, avec un hôte de confiance (votre ordinateur personnel) au milieu. Vous devrez ouvrir deux ports dans votre pare-feu : votre port SSH normal (22, mais voir ci-dessous), et un autre port -- disons 2201. Depuis le bureau, ouvrez un tunnel inverse vers votre ordinateur personnel, en utilisant un argument tel que 2201:localhost:22 -- toutes les connexions au port 2201 de votre ordinateur personnel seront transférées au port 22 de votre ordinateur professionnel. Ensuite, ouvrez un tunnel de transfert depuis votre ordinateur portable vers votre ordinateur personnel, en utilisant un argument tel que 22:localhost:2201 -- toutes les connexions au port 22 de votre ordinateur portable seront redirigées vers le port 2201 de votre ordinateur personnel.

Bien entendu, il ne s'agit pas d'une configuration optimale. Non seulement vous avez un handoff au milieu, mais si vous avez l'ADSL (comme moi), vous serez frappé par la lenteur des vitesses de téléchargement. Dans l'ensemble, le VPN traditionnel est probablement un meilleur choix (encore une supposition : vous utilisez SSH parce que votre VPN traditionnel est trop lent).

Par ailleurs, l'ouverture du port 22 sur votre pare-feu domestique n'est pas une bonne idée : tôt ou tard, vous serez attaqué. Même si cela ne mène pas à un piratage, les attaquants consommeront de la bande passante et de l'espace disque (la première et seule fois que cela m'est arrivé, le journal d'authentification a atteint plusieurs mégaoctets en l'espace d'une heure - je me suis alors giflé pour avoir été stupide et j'ai fermé le port - peu importe que mes mots de passe ne soient pas sujets à des attaques par dictionnaire, c'est toujours une mauvaise idée de laisser les portes ouvertes).

Edit : pour que sshd écoute des ports supplémentaires, éditez le fichier /etc/ssh/sshd_config (pour les utilisateurs de Windows, c'est à vous de vous débrouiller), et d'ajouter d'autres Port (recherchez l'entrée existante "Port 22") :

# What ports, IPs and protocols we listen for
Port 22
Port 2201

Sauf si je comprends mal votre question, les pare-feu de l'aéroport bloquent vos connexions sortantes sur le port 22. Afin de contourner cela, tunnelisez vos connexions ssh sur DNS : http://www.boingboing.net/2004/06/21/tunneling-ssh-over-d.html

Notez que, ce faisant, vous serez presque certainement en mesure de contourner leurs systèmes de "réseau payant" - il suffit d'établir cette connexion puis de faire passer vos connexions HTTP par ce tunnel.

Si votre objectif est de contourner leur système de paiement, vous obtiendrez une bien meilleure connexion si vous vous asseyez dans une zone où d'autres personnes ont payé, et si vous exécutez la fonction airodump-ng ou autre pour trouver l'adresse mac de quelqu'un qui envoie/reçoit beaucoup de paquets avec l'un de ces réseaux payants. Il suffit d'usurper son adresse mac et vous aurez accès à Internet.

<morals>

Les deux techniques ci-dessus se situent dans la zone grise de la morale. Faire du piggybacking sur la connexion de quelqu'un d'autre peut même être illégal, je n'en suis pas sûr, mais dans tous les cas vous allez ralentir son service, lui volant effectivement de la bande passante. Bien que l'obtention d'un accès gratuit à Internet via ssh-over-dns n'ait pas d'impact négatif sur les services payants d'autres personnes, vous utilisez toujours des ressources que l'entreprise doit payer et vous recevez un service payant gratuitement. Considérez également que l'aéroport pourrait bloquer la sortie 22 pour une bonne raison (bien que Dieu seul sache ce que cela pourrait être).

Ce sont tous des éléments à prendre en compte avant d'essayer d'acquérir gratuitement un service payant ou d'essayer d'étendre votre service au-delà de ce que propose le fournisseur.

</morals>