[Tvlug] R: Dramma su reverse ssh tunnel :)

Lamonato Andrea lamonato.andrea a gmail.com
Mer 12 Feb 2014 21:17:07 CET


On 02/12/2014 08:35 PM, Alberto Pastrolin wrote:
> programmatore, quindi non parliamo di te :)

Esatto

On 02/12/2014 08:35 PM, Alberto Pastrolin wrote:
> Ma perché le box non possono vedere le cloud, non mi torna il motivo
> pratico di questa scelta (capisco non voler dare IP statici in giro, ma
> se poi mettiamo l'IP statico del ponte a sto punto si poteva usare il
> ponte come una sorta di DNS che periodicamente distribuisce alle box gli
> ip delle cloud)

Evitare configurazioni a "casa" del cliente. Cerchiamo il più possibile 
di dargli qualcosa che "attacchi la spina e va", inoltre i box saranno 
probabilmente dietro una NAT, nel caso migliore, e non avranno ip pubblico.

On 02/12/2014 08:35 PM, Alberto Pastrolin wrote:
> Con sincronizzare intendo, a te serve che le box e le cloud accedano al
> ponte assieme? Perché altrimenti potresti fare una cosa del tipo la box
> accede, fa quello che deve fare e imposta qualcosa per far capire al
> ponte che deve switchare SELinux per far accedere la cloud, che a sua
> volta fa quello che deve fare e poi fa capire al ponte che ritocca alla
> box; se devi fare cose del tipo box manda i dati, cloud li elabora e box
> li riprende può essere una buona soluzione (ti eviti anche race
> condition e fai felice il mio prof di OS :) ), se invece devono lavorare
> in parallelo allora no, lascia perdere

Box deve poter offrire servizi a cloud in un momento non prestabilito 
(in sostanza deve essere up per il maggior tempo possibile). Con la 
soluzione che è stata proposta cloud si connette a box tramite il ponte 
senza preoccuparsi dell'IP del box o della rete che lo connette ad internet.

Cerco di fare un esempio che magari spiego di più:
tu hai una macchina con apache2 in una rete LAN con DHCP, NAT base dei 
router di cui non conosci niente e su cui non vuoi mettere le mani e 
l'IP pubblico è dinamico, ti devi connettere a questa macchina per 
accedere a delle API che un applicativo espone su apache.
Questo presuppone che tu debba astrarti dall'IP pubblico e che sia la 
macchina apache ad inizializzare la connessione verso l'esterno.
Il port forwarding sulla rete LAN non è un opzione interessante perchè 
non vuoi mettere le mani.
Puoi, però, fare un ponte con cui la macchina apache instaura un tunnel 
(qualsivoglia genere, ssh, vpn) e tu accedi al ponte. Ora, siccome hai N 
macchine uguali e tutte espongono su porta 80, tu vuoi accedere in modo 
simile a ponte.iodominio.it:8000, ponte.iodominio.it:8001, etc...
SSH ti permette il reverse tunnelling che fa questo e le gateway ports 
che permettono di accedere alle porte 8000, 8001, etc...

Quindi il succo è:
	Vuoi limitare gli utenti in modo che 8001 non possa effettuare bind 
della porta 8000. Come fare?

Google suggerisce SELinux, altre proposte sono benaccette.

P.S.: Ma ti sei innamorato del tuo prof di OS :)

-- 
Best regards,
    Lamonato Andrea.


More information about the Tvlug mailing list