Доступен (https://github.com/securesocketfunneling/ssf/releases) третий выпуск инструментария SSF (https://securesocketfunneling.github.io/ssf/) (Secure Socket Funneling), предоставляющего средства для перенаправления трафика через другой хост. SSF позволяет выполнять такие операции как проброс TCP и UDP портов, создание туннелей с подключением через SOCKS, организация запуска команд на внешней системе и передача файлов между хостами. Поддерживается работа в Linux, macOS и Windows, для установки требуется минимум зависимостей.
SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN из-за сетевых ограничений или нужно организовать проброс UDP (например, VoIP или online-игры). SSF также может быть полезен когда необходимо организовать проброс трафика через систему на базе Windows. Код проекта написан на языке C++ и поставляется (https://github.com/securesocketfunneling/ssf) под лицензией MIT. Сборки подготовлены (https://securesocketfunneling.github.io/ssf/#download) для Linux и Windows.Особенности SSF:
- Возможность проброса нескольких TCP и UDP портов через один туннель;
- Использование TLS для шифрования трафика (в том числе можно камуфлировать туннель под Web);
- Высокая производительность передачи файлов через шифрованный туннель (предоставляется похожая на scp команда ssfcp, обеспечивающая более высокую скорость работы);
- Поддержка приёма трафика чрез локальный SOCKS-сервер или работа через SOCKS на удалённом хосте;
- Использование на локальной системе утилиты ssf с похожим на ssh набором опций для проброса трафика (например, ssf -D 9000 для включения SOCKS). На удалённой стороне требуется выполнение процесса ssfd с привязкой к произвольному сетевому порту;
- Поддержка динамического перенаправления трафика при помощи SOCKS не только от клиента к серверу (аналог опции -D в ssh), но и от сервера к клиенту (с SOCKS на сервере можно пробрасывать трафик через клиента);
- Возможность многоступенчатого проброса, при при котором для прохождения трафика выстраивается цепочка из нескольких транзитных хостов;- Простая реализация shell для Windows, Linux и macOS (требует отельного включения);
- Возможность создания туннеля при наличии выхода в Сеть только через соединение поверх SOCKS (v4, v5) или HTTP-прокси.
URL: https://github.com/securesocketfunneling/ssf/releases
Новость: https://www.opennet.ru/opennews/art.shtml?num=47628
годнота
Утилита %name%, когда %name2% недоступно :с
не сильно компетентен, но будет ли пакет ssh полнофункционально (с полным функционалом сабжа) работать, если его пытаться установить в хомяк, установка и работа при этом, естественно с ограниченными правами пользователя
Будет, почему нет.
> %name%
> %
> % !!!На MSDN!
# apt-get install libssl1.0-dev libboost1.62 libboost-dev libkrb5-devто есть чуть не весь возможный в принципе, опасный и вредный для нормального криптографического решения мусор в одном флаконе.
но ssh им недостаточно моден, молодежен и кроссплатформенен.
Поэтому мы бросаем носки в тени.
Вы пьёте слишком мало смузи, коллега!
Обоснуй.
> Обоснуй.Список CVE одного только openssl обоснует за троих. Тебе что больше нравится, heartbleed или пудели? А может, ты фанат аппаратного ускорения которое PRNG напрямую из интеловского проца тащит? Так что если там бэкдор - ты гарантированно залетаешь.
А Boost-то чем опасен?
> А Boost-то чем опасен?Смотря что потащили. Если сравнительно устоявшееся, то почему тогда не стандарт уже,
если новомодное, то это во многом хипстерство и Александреску-подобно.
Ниче что ssh тоже зависит от openssl? И вообще, какие есть альтернативы-то?
http://article.gmane.org/gmane.os.openbsd.cvs/130612— Больной, проснитесь, вы обгадились!
— А я и не спал!Вот уже 3 года, как не зависит.
В опенке? Вполне может быть, что там собирают без openssl
Но вот в debian и rhel openssh-server собирают с ним, так что очень даже зависит.
> В опенке? Вполне может быть, что там собирают без openssl
> Но вот в debian и rhel openssh-server собирают с ним, так что
> очень даже зависит.Вопрос к мэйнтейнерам. Можно собрать без openssl(да, сейчас посмотрел у себя, собранно с зависимостью от libssl1.0.0)
Ты бы хоть посмотрел для чего там OpenSSL используется (hint: не для криптографии в протоколе SSH).
> В опенке? Вполне может быть, что там собирают без openssl
> Но вот в debian и rhel openssh-server собирают с ним, так что
> очень даже зависит.В Генте клиент не зависит:
linpc ~ # ldd `which ssh`
linux-vdso.so.1 (0x00007ffc9a794000)
libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
/lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)но сервер зависит:
linpc ~ # ldd `which sshd`
...
libssl.so.1.0.0 => /usr/lib64/libssl.so.1.0.0 (0x00007f3be25d7000)
...
> В Генте клиент не зависит:
> linpc ~ # ldd `which ssh`
> linux-vdso.so.1 (0x00007ffc9a794000)
> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
> libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
> libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
> libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
> libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
> /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)/usr/lib64/libcrypto.so.1.0.0 это что в "Генте" ?
>[оверквотинг удален]
>> linpc ~ # ldd `which ssh`
>> linux-vdso.so.1 (0x00007ffc9a794000)
>> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
>> libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
>> libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
>> libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
>> libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
>> /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
>> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
> /usr/lib64/libcrypto.so.1.0.0 это что в "Генте" ?Упс, dev-libs/openssl-1.0.2m! :)
> Ниче что ssh тоже зависит от openssl?к счастию великому, он использует оттуда только криптопримитивы. Причем этой болезнью заболел на поздних стадиях развития. Ylonen обходился без всякого openssl.
И если обойтись только поделками djb (которые, правда, не имеют подтверждений своей надежности из независимых источников, поэтому все упирается в репутацию одного человека), то можно и без него вовсе.> Вообще, какие есть альтернативы-то?
альтернативы - чему? Для туннелинга трафика есть vpn'ы - от ipsec до причудливого govpn.
Для remote shell - ssh2 протокол вполне себе ничего.
Единственная доступная реализация - да, страдает массой болячек, но замены нет.
>Ylonen обходился без всякого openssl.А теперь все обходятся без Ylonen-а :)
>ssh2 протокол вполне себе ничего. Единственная доступная реализация - да, страдает массой болячек, но замены нет.
Тут как то был инсайд что лучший друг опесорца, вроде как всё же решились его влить в свою форточку, для начала как компонент повершела ... если сделают - считай что поляна зачищена :) Другого долго не будет.
> Тут как то был инсайд что лучший друг опесорца, вроде как всё
> же решились его влить в свою форточку, для начала как компоненттак они опенсорцный и возьмут, зачем им индусов-то лишний раз напрягать.
Вместе с всей той кучей мусора, которую туда понатащили излишне самоуверенные и не в меру активные разработчики open-версии.
Ну это да, иначе смысла нет. Я к тому что если в форточке появится ssh\sshd - никаких других уже не появится :) И это надолго. Да и - алилуйя! :-)
>> Вообще, какие есть альтернативы-то?
> альтернативы - чему? Для туннелинга трафика есть vpn'ы - от ipsec до
> причудливого govpn.
> Для remote shell - ssh2 протокол вполне себе ничего.Еще раз: "...SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN из-за сетевых ограничений или нужно организовать проброс UDP..."
ssh умеет слушать udp?
тут все проще - поднимаешь ppp повер ssh и направляешь туда любой трафик. Но конечно, если у тебя хватит привелегий.
> тут все проще - поднимаешь ppp повер ssh и направляешь туда любой
> трафик. Но конечно, если у тебя хватит привелегий.ppp поверх ssh это уже tcp туннель. как я понял, ssf умеет udp туннель
> # apt-get install libssl1.0-dev libboost1.62 libboost-dev libkrb5-dev
> то есть чуть не весь возможный в принципе, опасный и вредный для
> нормального криптографического решения мусор в одном флаконе.
> но ssh им недостаточно моден, молодежен и кроссплатформенен.Для тех, кто в танке:
...SSF рассчитан на работу в условиях, когда недоступен SSH...
> Для тех, кто в танке:от тех кто накрылся кастрюлькой и думает что в танке?
> ...SSF рассчитан на работу в условиях, когда недоступен SSH...
расскажите, что это за "условия" такие? Когда вам можно ставить всякий мусор на удаленной системе, но "недоступен ssh".
Который обычно как раз наоборот, остается доступен, когда уже все остальное давно позаблокировали.
>> Для тех, кто в танке:
> от тех кто накрылся кастрюлькой и думает что в танке?
>> ...SSF рассчитан на работу в условиях, когда недоступен SSH...
> расскажите, что это за "условия" такие? Когда вам можно ставить всякий мусор
> на удаленной системе, но "недоступен ssh".
> Который обычно как раз наоборот, остается доступен, когда уже все остальное давно
> позаблокировали.На совести автора - я лишь цитировал! :)
А публичных SSF серверов еще нет?
> А публичных SSF серверов еще нет?Тебе нетерпится поделиться своей инфой с Большим Братом и др.? :)
чем оно лучше gost?
Ворота в Интернет для любителей гонять онлайн-игрушки на работе.
под фряшеньку тоже надо
не надо
Интересно, а VPN-over-DNS можно заблокировать ?
Просто скорость зарезать до нормальной для DNS, типа 5-10 запросов в секунду, бёрст 50-100, и этим впном сможет только столман пользоваться.
Зачем такие сложности? Ты можешь ходить ТОЛЬКО к DNS своего провайдера/работы и все.
Вам бы почитать как dns работает.
Тебе лучше самому последовать своему совету. Обрати внимание на роль рекурсивных/кеширующих DNS серверов. Ну и загляни в свой resolv.conf, вдруг там тоже стоит dns сервер провайдера или гугла.
> Ну и загляни в свой resolv.conf, вдруг там тоже стоит dns сервер провайдера... который вовсе не обязан быть рекурсивным. Сюрприз?
там именно сервера прова и гугла, а в чем проблема? надо свой поднять?
а зачем оно нужно, при наличии vpn или ssh?
> а зачем оно нужно, при наличии vpn или ssh?И еще раз: "...SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN..."
т.е сабж нужен лишь как альтернативный способ обфусфакции трафика, не подпадающий под фильтры дпи для опенвпн и ssh? Как shadowsocks, короче
> т.е сабж нужен лишь как альтернативный способ обфусфакции трафикада нет там никакой обфускации - обычный tls. dpi прекрасно умеют его отличать - в том числе и от tls, используемого для well-known протоколов.
> фильтры дпи для опенвпн и ssh? Как shadowsocks, короче
и в нем тоже нет. Во всяком случае, в том, настоящем от настоящего китайца, а не в последующих клонах и доработках от неизвестно кого.
Чем оно отличается от ShadowSocks?
> Чем оно отличается от ShadowSocks?отсутствием плохой замены ssh в комплекте.
Ну и тем, конечно, что за автором еще не пришла китайская полиция. Или пришла так быстро, что он не успел ничего мяукнуть.
Чем оно отличается от ShadowSocks?
SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней
> SoftEther умеет туннели через ICMP, такой вариант пожизнеспособнейтоже нет ( в смысле, только пока неуловимый джо нахрен никому не сдался)
слишком нетипичный для icmp траффик, могут даже без товарища майора начать блокировать или лимитировать, подозревая попытку dos-атаки.типичный траффик, который достаточно легко имитировать, сохраняя приличную полосу для самого канала - порнуха over ssl. Но это ж пока именно за ней и не пришли ;-)
>> SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней
> тоже нет ( в смысле, только пока неуловимый джо нахрен никому не сдался) слишком нетипичный для icmp траффик,ну почему же, для управления бот сетью, где нужно только команды рассылать, вполне себе удобный инструмент
для ботов почему-то принято dns (и да, для управления сгодится и такой, который работает через рекурсивные у провайдера). Я как-то унаследовал хост от такого экземпляра, было занятно (правда, так и не придумал, что бы с ним такое сделать, там, сцуко, хорошее шифрование).
> Чем оно отличается от ShadowSocks?
>> отсутствием плохой замены ssh в комплекте.
>> Ну и тем, конечно, что за автором еще не пришла китайская полиция. Или пришла так быстро, что он не успел ничего мяукнуть.Можно как-то технично изложить? Я в самом деле хочу понять отличие, но в таком юморном изложении к сожалении не понимаю.
> Можно как-то технично изложить? Я в самом деле хочу понять отличие, но
> в таком юморном изложении к сожалении не понимаю.Суть истории: жил был китаец ClowWindy. И написал пару софтин которые обходили великий китайский фаер. Обходили хорошо. У полицаев стал дымиться стул. Они пришли на гитхаб и потребовали выпилить репы. Гитхаб их в общем то выпилил, но народ со всей планеты в едином порыве сделал более 9000 форков.
А так неплохие комплекты софта для показа среднего пальца сетевым тиранам. Даже великий китайский фаер обходят, а это одна из самых злобных и навороченных систем цензурирования сетевого трафика на планете.
Да эту историю давно знаю, потому что сам пользуюсь ShadowSocks.
Но на вопрос они - SSF и SS - отличаются друг от друга, вы к сожалению не ответили.