Tunel SSH z Windows na serwer bazodanowy

dumpmuzgu · 25.02.2013, 09:23

Jest serwer linuksowy z bazami danych MySQL. Dostęp do nich jest możliwy tylko z loopback 127.0.0.1 i słusznie. To serwer przechowujący dane osobowe i nie chcę tego zmieniać (wiem jak zmienić, ale nie chcę).

Jedna z baz powinna być dostępna z zewnątrz dla pewnych programów klienckich na 12 Windows XP Pro. Mają one prosty plik konfiguracyjny typu host, port, user, password. To komercyjny soft, źródeł nie ma, nic w nim nie zmienię.

Jak zrobić tunel ssh z tych ch.nych Windowsów? Any ideas, jakiś bezproblemowy soft?

Pewnie da się putty + proxifier - ale nie chcę zmuszać userów do putty.
Kilka innych rozwiązań też mi do głowy przychodzi, ale do bani są.
Brakuje dla mnie licencji na ten program kliencki, nie mam go u siebie, muszę coś wymyślić, wieczorem wpaść do firmy i czary-mary zrobić w 15 minut, tak aby rano hulało.
Dotychczas hulało z innej maszyny na bazie wystawionej do sieci, ale GIODO się doczepił.

Bartezi, nie obrażaj się, pomóż mi

sobrusi ofkors toże

Też się zapytam po angielskiemu na stackoverflow

sobrus · 27.02.2013, 08:50

Czyli masz bazy nasłuchujące tylko na 127.0.0.1
I chcesz się połączyć z zewnątrz. To troche sobie zaprzecza, ale nie znam się na tunelowaniu przez SSH. Być może to da się zrobić.

Ja to bym próbował zrobić przez VPN, a konkretnie przez OpenVPN, bo jest proste w obsłudze.

Klient z Windows dostaje drugą wirtualną kartę sieciową, łączącą się bezpośrednio do serwera (połączenie jest szyfrowane i kompresowane w locie). Baza danych z kolei będzie musiała nasłuchiwać na 127.0.0.1 oraz na niewielkiej stałej puli adresów które przydzielisz dla klientów VPN.

Możesz wygenerować sobie certyfikaty dla klientów, tak że nie będzie nawet potrzeby wklepywania hasła, połączenie będzie automatyczne przy starcie systemu. User nic nie robi.
Wszystko możesz ustawić i przetestować u najpierw u siebie i na serwerze, a potem szybko u klientów zainstalować VPN, skopiować conf i certyfikat.

Ewentualnie próbować wtedy uruchomić jakoś SSH przez VPN, żeby było jako 127.0.0.1. Masz bezpośrednie połączenie z serwerem na wirtualnej karcie sieciowej - więc można kombinować.
W każdym razie GIODO nie powinno się czepiać, bo baza nie będzie wystawiona na zewnątrz, połącznie szyfrowane i dostępne tylko dla wybrańców posiadających certyfikat.

**Bartez** · 27.02.2013, 09:57

A czy wystawienie konkretnej bazy dla konkretnego IP lub puli IP nie wchodzi w grę?

andy · 02.03.2013, 12:55

Na pewno najbezpieczniejszym rozwiązaniem będzie VPN. Pytanie tylko o kwestie implementacyjne.
Można to zrobić przez OpenVPN jak wspomniał wyżej sobrus, lub przez IPSec(każdy komputer może w prosty sposób utworzyć takie połączenie).

Do tego wszystkiego można też dołożyć pomysł Barteza.

Tworzysz sobie punkt w sieci do którego można się podłączyć po VPN. Po podłączeniu się klientem dostaje on adres w sieci wewnętrznej, który jako jeden z 10 może dostać się do bazy.
Baza musiała by pozwalać na dostęp z tych wewnętrznych IPeków.

Nikt z zewnątrz się nie dostanie. Nawet jak będzie miał certyfikat, hasło i login to też nic nie zrobi bo samo połączenie może być np. nawiązywane tylko z określonej puli adresów IP.

Ze swojej strony polecam użycie IPSec jako implementacji VPN.

sobrus · 02.03.2013, 15:26

IPSec czy OpenVPN to w zasadzie bez różnicy. Oba rozwiązania mają swoje wady i zalety.
Kwestia co się da łatwiej i szybciej uruchomić na dostępnej platformie, bo działać będzie podobnie.

dumpmuzgu · 03.03.2013, 01:15

Hello

Serwer bazodanowy to VPS managed, czyli bez roota. Kosztowo nie ma problemu z przejściem na dedyka, ale - hoster przy VPS managed wystawia bardzo fajną umowę, która jest "podkładką" dla GIODO - przejmuje na siebie zobowiązania za naruszenia bezpieczeństwa na odpowiedniej warstwie. Przy dedyku tego nie zapewnia z oczywistych powodów.

Chodzi o to rozporządzenie http://www.giodo.gov.pl/144/id_art/1002/j/pl/ - dość ogólne.

Tymczasowo, jak to zwykle bywa: prowizorka przez Barteza proponowana, czyli wystawienie bazy dla IP; na szczęście firma ma DSL ze stałym. Dla dwóch laptopów zrobiłem tunel z Bitvise Tunnelier + Proxifier i hula.

Nie mam doświadczeń z VPN. Na tym VPS nie mam dostępu do /dev/. To chyba wyklucza VPN?

Hoster proponuje rozwiązanie na sprzęcie WatchGuard, ale szefostwo na wakacjach. Tysiące dolarów, więc czekam.

Dzięki za pomoc i będę wdzięczny za wszelkie uwagi. Opiszę jak to rozwiązałem, gdy skończę.

25.02.2013, 09:23	#1
dumpmuzgu Banned Data rejestracji: 20.01.2013 Posty: 94	Tunel SSH z Windows na serwer bazodanowy Jest serwer linuksowy z bazami danych MySQL. Dostęp do nich jest możliwy tylko z loopback 127.0.0.1 i słusznie. To serwer przechowujący dane osobowe i nie chcę tego zmieniać (wiem jak zmienić, ale nie chcę). Jedna z baz powinna być dostępna z zewnątrz dla pewnych programów klienckich na 12 Windows XP Pro. Mają one prosty plik konfiguracyjny typu host, port, user, password. To komercyjny soft, źródeł nie ma, nic w nim nie zmienię. Jak zrobić tunel ssh z tych ch.nych Windowsów? Any ideas, jakiś bezproblemowy soft? Pewnie da się putty + proxifier - ale nie chcę zmuszać userów do putty. Kilka innych rozwiązań też mi do głowy przychodzi, ale do bani są. Brakuje dla mnie licencji na ten program kliencki, nie mam go u siebie, muszę coś wymyślić, wieczorem wpaść do firmy i czary-mary zrobić w 15 minut, tak aby rano hulało. Dotychczas hulało z innej maszyny na bazie wystawionej do sieci, ale GIODO się doczepił. Bartezi, nie obrażaj się, pomóż mi sobrusi ofkors toże Też się zapytam po angielskiemu na stackoverflow

27.02.2013, 08:50	#2
sobrus Jukebox Hero Data rejestracji: 17.09.2004 Lokalizacja: Back for the Attack Posty: 10,800	Czyli masz bazy nasłuchujące tylko na 127.0.0.1 I chcesz się połączyć z zewnątrz. To troche sobie zaprzecza, ale nie znam się na tunelowaniu przez SSH. Być może to da się zrobić. Ja to bym próbował zrobić przez VPN, a konkretnie przez OpenVPN, bo jest proste w obsłudze. Klient z Windows dostaje drugą wirtualną kartę sieciową, łączącą się bezpośrednio do serwera (połączenie jest szyfrowane i kompresowane w locie). Baza danych z kolei będzie musiała nasłuchiwać na 127.0.0.1 oraz na niewielkiej stałej puli adresów które przydzielisz dla klientów VPN. Możesz wygenerować sobie certyfikaty dla klientów, tak że nie będzie nawet potrzeby wklepywania hasła, połączenie będzie automatyczne przy starcie systemu. User nic nie robi. Wszystko możesz ustawić i przetestować u najpierw u siebie i na serwerze, a potem szybko u klientów zainstalować VPN, skopiować conf i certyfikat. Ewentualnie próbować wtedy uruchomić jakoś SSH przez VPN, żeby było jako 127.0.0.1. Masz bezpośrednie połączenie z serwerem na wirtualnej karcie sieciowej - więc można kombinować. W każdym razie GIODO nie powinno się czepiać, bo baza nie będzie wystawiona na zewnątrz, połącznie szyfrowane i dostępne tylko dla wybrańców posiadających certyfikat. Ostatnio zmieniany przez sobrus : 27.02.2013 o godz. 09:15

27.02.2013, 09:57	#3
Bartez Team Member Zlotowicz Data rejestracji: 18.10.2002 Lokalizacja: malopolska Posty: 4,177	A czy wystawienie konkretnej bazy dla konkretnego IP lub puli IP nie wchodzi w grę? __________________ Pozdrawiam Bartez Ranking dysków twardych

02.03.2013, 12:55	#4
andy logged out CDRinfo VIP Data rejestracji: 12.07.2003 Lokalizacja: /home Posty: 12,518	Na pewno najbezpieczniejszym rozwiązaniem będzie VPN. Pytanie tylko o kwestie implementacyjne. Można to zrobić przez OpenVPN jak wspomniał wyżej sobrus, lub przez IPSec(każdy komputer może w prosty sposób utworzyć takie połączenie). Do tego wszystkiego można też dołożyć pomysł Barteza. Tworzysz sobie punkt w sieci do którego można się podłączyć po VPN. Po podłączeniu się klientem dostaje on adres w sieci wewnętrznej, który jako jeden z 10 może dostać się do bazy. Baza musiała by pozwalać na dostęp z tych wewnętrznych IPeków. Nikt z zewnątrz się nie dostanie. Nawet jak będzie miał certyfikat, hasło i login to też nic nie zrobi bo samo połączenie może być np. nawiązywane tylko z określonej puli adresów IP. Ze swojej strony polecam użycie IPSec jako implementacji VPN. __________________ XMPP: andrzej(at)czerniak.info.pl

Podobne dyskusje
Dyskusja	Autor	Forum	Odpow.	Ostatni Post
Konica Minolta z10 - Problem z instalacją na Windows 2000	Piterniel	Fotografia	4	23.08.2005 14:04
Zakup uzywanego Notebooka a licencja na Windows i faktura	smyrko1	Off topic	1	30.07.2004 23:19
Tematy maturalne na Polski.. (przeciek z IRCa ;)	Martin_TP	Off topic	7	15.05.2003 00:20
Serwer na Debianie	szuwar007	Off topic	4	17.09.2002 20:33
Windows Update - zapisywanie uaktualnień do pliku na dysk	ZiP	Off topic	3	14.09.2002 20:52


	Nagrywarki \| Pliki \| Dyski twarde \| Recenzje \| Księgarnia \| Biosy \| Artykuły \| Nagrywanie od A do Z \| Słownik \| FAQ

	#ads
CDRinfo.pl Reklamowiec Data rejestracji: 29.12.2008 Lokalizacja: Sieć globalna Wiek: 31 Posty: 1227

02.03.2013, 15:26	#5
sobrus Jukebox Hero Data rejestracji: 17.09.2004 Lokalizacja: Back for the Attack Posty: 10,800	IPSec czy OpenVPN to w zasadzie bez różnicy. Oba rozwiązania mają swoje wady i zalety. Kwestia co się da łatwiej i szybciej uruchomić na dostępnej platformie, bo działać będzie podobnie.

03.03.2013, 01:15	#6
dumpmuzgu Banned Data rejestracji: 20.01.2013 Posty: 94	Hello Serwer bazodanowy to VPS managed, czyli bez roota. Kosztowo nie ma problemu z przejściem na dedyka, ale - hoster przy VPS managed wystawia bardzo fajną umowę, która jest "podkładką" dla GIODO - przejmuje na siebie zobowiązania za naruszenia bezpieczeństwa na odpowiedniej warstwie. Przy dedyku tego nie zapewnia z oczywistych powodów. Chodzi o to rozporządzenie http://www.giodo.gov.pl/144/id_art/1002/j/pl/ - dość ogólne. Tymczasowo, jak to zwykle bywa: prowizorka przez Barteza proponowana, czyli wystawienie bazy dla IP; na szczęście firma ma DSL ze stałym. Dla dwóch laptopów zrobiłem tunel z Bitvise Tunnelier + Proxifier i hula. Nie mam doświadczeń z VPN. Na tym VPS nie mam dostępu do /dev/. To chyba wyklucza VPN? Hoster proponuje rozwiązanie na sprzęcie WatchGuard, ale szefostwo na wakacjach. Tysiące dolarów, więc czekam. Dzięki za pomoc i będę wdzięczny za wszelkie uwagi. Opiszę jak to rozwiązałem, gdy skończę.