Come posso creare un tunnel proxy da una rete che ha tutte le porte ma la porta 80 è chiusa? Suppongo che dovrei legare SSH sul mio server alla porta 80, ma vorrei introdurre problemi alla mia rete domestica dato che l'interfaccia dei router è sulla porta 80?
I TOR sarebbero una soluzione migliore per qualcosa di simile?
Uso spesso Tor per questo tipo di tunneling. Se Tor funziona nel tuo ambiente di rete, configura un servizio nascosto . La directory /var/lib/tor (GNU / Linux) ha una sottodirectory per il tuo servizio nascosto. Dentro c'è un file chiamato hostname . Aggiungi una sezione in .ssh/config :
Host *.onion
ProxyCommand socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050
più forse altre opzioni. Ora puoi connetterti alla tua macchina utilizzando ssh hidden-service-hostname.onion e nessun firewall ti fermerà.
In realtà è molto facile creare un tunnel a porta singola per sfruttare qualsiasi porta aperta su un router. Questo succede molto nei test di sicurezza - forse posso sfruttare una vulnerabilità su un server, ma poi voglio fare qualcosa di utile con esso, come ad esempio incrementare ulteriormente l'attacco. Quello che poi faccio di solito è eseguire netcat per creare un canale in uscita (diciamo sulla porta 80 che guarda a un router o firewall proprio come il traffico web .)
Non dovrebbe importare che la porta di comando del router sia la porta 80 - che è rilevante solo se si desidera connettersi al router, ma in termini di routing attraverso il router questa soluzione dovrebbe fare cosa hai bisogno.
Seguito rapido in quanto il mio commento su Shewfig's non è forse molto chiaro:
È possibile eseguire qualsiasi servizio su qualsiasi porta (praticamente) in modo che l'esecuzione di un servizio crittografato come SSH sulla porta 80 sia soddisfacente. Non ti aprirà agli attacchi su HTML poiché non esegui un server html su questa porta. C'è anche una grande differenza tra le porte in uscita aperte e in entrata. Se la porta 80 è aperta in uscita, il router / firewall in genere consentirà le risposte su una porta alta (ovvero non sulla porta 80)
C'è un documento vecchio ma ancora parzialmente pertinente chiamato firewall piercing howto . È rivolto agli studenti che usano Linux e si trovano intrappolati in alcuni posti di stage dietro un firewall restrittivo che impedisce loro di rallentare con l'aiuto dei loro strumenti preferiti potenziati dalla rete. In generale, non posso tollerare l'elusione delle funzionalità di sicurezza; ma questa è una lettura interessante (anche se un po 'obsolescente) se vuoi capire i problemi di rete.
Probabilmente potresti configurare il port forwarding, ad es. per uno specifico nome / percorso host e avere solo quei pacchetti inviati sull'altra macchina per essere detellati. Ma questo dipenderebbe molto dal tuo router.
Solo un commento aggiuntivo RIPETI: tieni presente che mentre TOR può essere prezioso per anonymoziation , in realtà danneggia molto la tua riservatezza . Quindi, a seconda di cosa stai scavando, probabilmente non vuoi che nessun nodo TOR (e diciamocelo, la maggior parte di questi sono ormai maliziosi) vedendo e alterando i tuoi dati.
La risposta dipende davvero da ciò che stai davvero cercando di ottenere.
Se stai cercando di creare una connessione proxy generica alla tua rete domestica da questa ipotetica rete "80 outbound only", allora ci sono 2 cose sbagliate: 1) SSL in genere è ospitato su 443: 80 è tipicamente non criptato. Permettendo solo la porta 80 in uscita garantisce che la navigazione da quella rete ti farà impallidire. 2) Il router di casa sta ascoltando internet sulla porta 80, che lo renderà pwned.
Se stai cercando di creare un proxy dalla rete "80 only" per navigare sul Web da un indirizzo IP diverso, ci sono già molti proxy pubblici per questo.
Se stai cercando di accedere al tuo PC di casa dalla rete "80 only", ci sono soluzioni come GoToMyPC e LogMeIn che eseguono questa operazione mediando la connessione.
Come risposta generica, direi che dovresti configurare il router di casa in modo che smetta di ascoltarlo sulla porta 80 (disabilita l'opzione cleartext http, solo SSL), quindi porta avanti da 80 a 22 sul tuo server di casa. Punti bonus per la configurazione di iptables sul server di casa per eseguire il port forwarding da 80 a 22 se si naviga dalla rete "80 only" e rimanere su 80 per tutte le altre reti.