<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body ><div>Scusandomi per il quoting.. </div><div><br></div><div>Ssh tra box e "ponte" è obbligatorio? </div><div><br></div><div>Un openvpn? </div><div><br></div><div>Stefano e le idee sul divano mentre subisce peppa pig </div><div><br></div><div><br></div><div><div style="font-size:75%;color:#575757">Inviato da Samsung Mobile</div></div><br><br><br>-------- Messaggio originale --------<br>Da: Lamonato Andrea <lamonato.andrea@gmail.com> <br>Data:  <br>A: tvlug@lists.tvlug.it <br>Oggetto: [Tvlug] Dramma su reverse ssh tunnel :) <br> <br><br>Ciao ragassuoli,<br>      ho un caso un po' particolare da sottoporvi :)<br>Ho dei piccoli server dislocati (chiamiamoli "box") nel mondo che devono <br>permettere ad altri server (chiamiamoli "cloud") di accedere a dei loro <br>servizi senza saperne nè IP nè un loro nome logico. E' stata quindi <br>proposta l'idea di avere una macchina "ponte" tra loro di cui è noto <br>l'IP ad entrambe le parti. Quindi i box instaurano un reverse ssh tunnel <br>sul ponte, configurato per permettere le gateway ports, e la cloud si <br>attacca alle porte dei servizi esposti sul ponte.<br><br>Fin qui perfetto, apparte l'idea contorta.<br><br>Il problema sorge dal fatto che si vuol limitare il singolo box a fare <br>ssh tunnel solo su delle porte conosciute (ad esempio box0 su porta <br>9000, box1 su porta 9001, e avanti così).<br><br>Google mi suggerisce di usare SELinux, lo ascolto, e metto in pratica. <br>Dalla messa in pratica però riesco solo a forzare ssh su una determinata <br>porta o l'utente su quella porta, mai entrambi in contemporanea. Quindi <br>se imposto SELinux per permettere all'utente di effettuare bind della <br>porta, ssh non riesce a funzionare, viceversa se permetto a ssh di fare <br>bind non riesce più l'utente.<br><br>Suggerimenti?<br><br>-- <br>Best regards,<br>    Lamonato Andrea.<br>_______________________________________________<br>Tvlug mailing list<br>Tvlug@lists.tvlug.it<br>http://lists.tvlug.it/mailman/listinfo/tvlug<br></body>