traverser un proxy authentifiant

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2938
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

09 janv. 2019, 11:23

De plus en plus d'organisations utilisent des proxies https avec authentification.
Si vous voulez relier 2 machines debian (ou autre linux) entre elles à travers ce type de proxy, il va falloir vous authentifier sur celui ci..
Évidement, tout est bien fait sous linux, et la solution est simple (une fois qu'on la connaît :) )
On va utiliser ssh, mais celui ci ne sait pas s'authentifier sur le proxy. Pas de problème, on va lui adjoindre corkscrew dont c'est le job (il ne fait qu'une chose, mais il le fait bien ..). Il faudra évidement l'installer au préalable via les dépots.
Il vous faudra aussi connaître:
- l’adresse du proxy
- votre identifiant et mot de passe pour vous identifier dessus

On modifie le fichier ~/.ssh/config

Code : Tout sélectionner

Host *
    ProxyCommand corkscrew <my.companies.proxy> <proxy.port> %h %p ~/corkscrew-auth
Vous pouvez remplacer Host * par une liste d'adresse si vous voulez étre plus restrictif

On modifie le fichier ~/.corkscrew-auth

Code : Tout sélectionner

<proxies.username>:<proxies.password>
On utilise ensuite une commande ssh classique pour connecter les 2 machines

Code : Tout sélectionner

ssh <remote.user>@<my.ssh.server> -p 443
J'utilise ici le port 443 car les proxies sont généralement moins regardant sur celui ci.

cadeau bonux:
Pour transférer des fichiers on à accès à toute la boite à outils openssh de façon toute aussi simple

Code : Tout sélectionner

sftp -p 443 <remote.user>@<my.ssh.server>:chemin_vers_fichier-source 
Et votre fichier source est copié dans le répertoire courant (man sftp pour plus d'options)

Si quelqu'un a une solution pour un client win, je suis preneur (putty ne sait pas s'identifier sur le proxy, et je n'ai pas réussi à le lié avec cntlm)
Avatar du membre
Mimoza
Contributeur
Contributeur
Messages : 655
Enregistré le : 22 avr. 2016, 12:00
Localisation : Terre
Status : Hors ligne

09 janv. 2019, 14:33

Je suppose que le réseau est géré par un domaine Windows, donc du NTLM pour l'authentification.
Ensuite tu solution fonctionne si le proxy n'est pas trop regardant sur le traffic en 443/https, ce qui n'est pas toujours le cas. Avec des solution de DPI il n'est pas possible d'utiliser ta solution.

La solution que tu cherche pour windows est CNTLM (http://cntlm.sourceforge.net/)
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2938
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

09 janv. 2019, 15:29

J'ai indiqué ntlm dans mon post, mais je n'ai pas trouvé de façon simple pour que son utilisation soit transparente avec putty.
Il faut lancer ntlm qui se comporte comme un proxy local, puis lancer putty qui va se connecter sur ce proxy, en lançant un nouveau proxy local.
Il ne faut pas oublier de tuer ntlm une fois les opérations avec putty terminées
Avatar du membre
lol
Membre hyper actif
Membre hyper actif
Messages : 2961
Enregistré le : 04 avr. 2016, 12:11
Localisation : Madagascar
Contact :
Status : Hors ligne

09 janv. 2019, 16:39

Très pratique, merci pour cette astuce!
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
Avatar du membre
Mimoza
Contributeur
Contributeur
Messages : 655
Enregistré le : 22 avr. 2016, 12:00
Localisation : Terre
Status : Hors ligne

09 janv. 2019, 21:50

@Piratebab : en effet j'ai lu un peu vite, dsl. Au pire fait un script qui te lance les 2.
Répondre