Tunelowanie portu 110 pop3 przez SSH - czy to zabezpieczy mejle ?

[kaniarinio]

Witam, mam pytanie odnośnie tunelowania SSH.

Czy jeśli zestawię sobie tunel ssh w linuxie w ten sposób:

ssh -L 110:serwer-pocztowy:110 login@serwer-ssh

i potem w programie pocztowym ustawię do odbioru poczty serwer pop3: 127.0.0.1, port 110 to czy mimo że sam w sobie protokół pop3 nie jest szyfrowany (w przeciwieństwie do pop3 z ssl na porcie 995) to w związku z tym, że zestawiłem sobie tunel ssh, to ta poczta odbierana będzie szyfrowana ?

[TQM]

2 problemy z tym poleceniem...

1. polecenie musisz odpalic jako root bo inaczej nie uda sie otworzyc portu 110 na twojej maszynie bo zwykly user nie ma do tego uprawnien - zmien port na >1024 czyli np 1110 i bedzie ok
2. polaczenie bedzie szyfrowane przez ssh tylko od ciebie do serwera ssh a pozniej i tak bedzie nieszyfrowane, wiec to ma sens tylko gdy uzywasz np otwartej sieci wifi gdzie wiadomo ze ktos podsluchuje (tak trzeba zalozyc przynajmniej)

[kaniarinio]

Tak, o tej sprawie z portami <1024 to wiem, tylko taki przykład dałem

A co do drugiej sprawy to dzięki za informację, bo chciałem sobie wyjaśnić na jakiej zasadzie to będzie działać.

A czy będzie robiło jakąś różnicę czy skorzystam po prostu z pop3 na porcie 995 czyli z SSL czy dołożę do tego też tunel ssh ?

[markossx]

Jak serwer POP będzie słuchał na porcie 995 i będzie tam SSL to nie ma celowości
tunelować przez SSH...

[kaniarinio]

Okej. A mam pytanie jeszcze odnośnie tunelowania, bo muszę pokazać prowadzącemu przykład jakiegoś tunelu, a potem pokazać, że działa czyli wykorzystanie. Co jeszcze oprócz poczty i pop3 mógłbym pokazać, jaką inną usługę i program ją wykorzystujący ?

I jeszcze jedno pytanie przy okazji - jeśli zestawię sobie taki tunel:

ssh -D 8080 login@serwer-ssh

To co to tak naprawdę oznacza ? To oznacza, że jeśli wejdę sobie na port localhost:8080 to wszystkie informacje są szyfrowane i idą przez serwer ssh ?

Bo jeśli dajmy na to ustawię sobie w przeglądarce proxy -> SocksV5 -> localhost:8080 to wtedy rozumiem, że połączenie z każdą stroną mam szyfrowane ?

Komputer -> Serwer SSH -> strona internetowa ?

Czy tylko Komp -> serwer jest szyfrowane ?

[markossx]

Dobrym przykładem jest tunelowanie Oracla przez SSH,
rzuć okiem i zestaw takie coś, na przykład z Firebirdem czy MySQL,

ssh-tunneling.jpg

[kaniarinio]

Tak, to dobry przykład, tylko go już robiłem.

A powiedzcie mi ostatnią rzecz - jak zrobię ssh -d 6000 login@serwer-ssh

To rozumiem idzie tak: ja -> serwer ssh -> strona, tylko jak dokładnie ten ruch jest szyfrowany ?

JA <-> Serwer SSH ?

JA <-> Serwer SSH <-> Dowolna strona www ?

JA <-> Serwer SSH -> Dowolna strona www ?

Bo wiem, że ip dostaje serwera ssh.

[markossx]

To chyba -D powinno być,
to jest dobre gdy korzystasz z niezaufanego komputera,
jak masz shell z ssh na zdalnej maszynie to -D utworzy SOCKET,
przez który różne aplikacje mogą się tunelować.
Czyli tak jak mówisz, między maszyną lokalną i serwerem ssh ruch będzie zaszyfrowany,
od serwera ssh dalej - nie, chyba że coś jest skonfigurowane dodatkowo.
Jak na obcym sprzęcie nie ma zabawek typu keylogger itp, to zasadniczo jest bezpiecznie.

[TQM]

Sa rozne rodzaje proxy... mozesz miec HTTP proxy i SOCKS proxy (aktualnie SOCKS5).

ssh -D9050 <user@host> <-- odpala SOCKS5 proxy na porcie 9050 (localhost:9050) i jak bedziesz go uzywal to caly ruch z aplikacji (najczesciej przegladarki) bedzie szedl przez tunel ssh do serwera na ktory sie zalogowales i dopiero stamtad wyjdzie na swiat.

[markossx]

Spoko,spoko, pytał o -D i dostał info o socks proxy