Estou tentando acessar meu servidor SSH na Internet a partir de uma rede corporativa. Todas as conexões com a Internet externa devem ser submetidas a proxy através de um servidor que verifica o hash NTLM de cada cliente em cada solicitação. Estou usando o Cntlm para isso, e é apenas metade do trabalho. Está funcionando bem para conexões baseadas em HTTP, mas não está funcionando para conexões no estilo SSH. Eu sei disso porque, eu posso ligar para Sublime Texto 's Pacote de Controle Plugin para obter e plugins de atualização. No entanto, não posso usá-lo para SSH no meu servidor usando a configuração de túnel do Cntlm.
Analisando os logs do Cntlm, posso ver o seguinte ...
cntlm: PID 1460: 127.0.0.1 TUNNEL ts.io:443
Tunneling to ts.io:443 for client 6...
Starting authentication...
NTLM Request:
Domain: domain.tld
Hostname: D-HOSTNAME
Flags: 0xA208B205
NTLM Handshake (Tipo 1)
Sending PROXY auth request...
Proxy-Connection => keep-alive
Proxy-Authorization => NTLM [REDACTED]
Content-Length => 0
Lendo a resposta de autenticação PROXY ...
HEAD: HTTP/1.1 407 Proxy Authentication Required ( Access is denied. )
Via => 1.1 FOLLICLE
Proxy-Authenticate => NTLM [REDACTED]
Connection => Keep-Alive
Proxy-Connection => Keep-Alive
Pragma => no-cache
Cache-Control => no-cache
Content-Type => text/html
Content-Length => 0
NTLM Challenge:
Challenge: 4AC9211DC2875FFF (len: 178)
Flags: 0xA2898205
NT domain: NTDOMAIN
Server: PROXY
Domain: domain.tld
FQDN: proxy.domain.tld
TLD: domain.tld
TBofs: 64
TBlen: 114
ttype: 0
NTLMv2:
Nonce: CB4E6617ABF19C24
Timestamp: -1581153408
NTLM Response:
Hostname: 'D-HOSTNAME'
Domain: 'domain.tld'
Username: 'username'
Response: '[REDACTED]' (162)
Response: '[REDACTED]' (24)
Sending real request:
Proxy-Connection => keep-alive
Proxy-Authorization => NTLM [REDACTED]
E finalmente entendi ...
Reading real response:
HEAD: HTTP/1.1 200 Connection established
Via => 1.1 PROXY
Connection => Keep-Alive
Proxy-Connection => Keep-Alive
Ok CONNECT response. Tunneling...
tunnel: select cli: 6, srv: 7
Joining thread 537272664; rc: 0
Como o firewall permite apenas conexões com a Internet externa através do servidor proxy da porta 80 e 443, reconfigurei meu servidor SSH para aceitar conexões da porta 443.
O problema que estou vendo é que, quando tento uma conexão SSH, a conexão é reportada como tempo limite de conexão do Sublime Text ao usar o plug-in SFTP . O uso do PuTTY resulta em um instante PuTTY Fatal Error: Server unexpectedly closed network connection
. O Shell Seguro da Extensão do Google Chrome fornece um erro mais detalhado dessh_exchange_identification: Connection closed by remote host
NaCl plugin exited with status code 255.
Configuração do Cntlm
# The username of the client you wish to masquerade as.
#
Username username
# The domain name of the network you are connected too.
#
Domain domain.tld
# The Password, LM, NTLM, or NTLMv2 Password.
# You should leave this blank and then start cntlm
# with the -M arg to get the hash information, then
# place that information here.
#
PassNTLMv2 [REDACTED]
# Specify the netbios hostname cntlm will send to the parent
# proxies. Normally the value is auto-guessed.
#
Workstation D-HOSTNAME
# List of parent proxies to use. More proxies can be defined
# one per line in format <proxy_ip>:<proxy_port>
#
Proxy PROXY:8080
# Specify the port cntlm will listen on
# You can bind cntlm to specific interface by specifying
# the appropriate IP address also in format <local_ip>:<local_port>
# Cntlm listens on 127.0.0.1:3128 by default
#
Listen 3128
# Use -M first to detect the best NTLM settings for your proxy.
# Default is to use the only secure hash, NTLMv2, but it is not
# as available as the older stuff.
#
# This example is the most universal setup known to man, but it
# uses the weakest hash ever. I won't have it's usage on my
# conscience. :) Really, try -M first.
#
Auth NTLMv2
# Tunnels mapping local port to a machine behind the proxy.
# The format is <local_port>:<remote_host>:<remote_port>
#
Tunnel 1443:ts.io:443
Esta é a seção de configuração que estou usando para o túnel no Cntlm.
Configuração PuTTY
IP:PORT localhost:1443
É isso que estou usando para a conexão PuTTY.
Texto sublime
"http_proxy": "http://localhost:3128",
Alguma idéia é o que posso fazer para corrigir isso? Gostaria de fazer o SSH no meu servidor, deve haver uma maneira de fazer isso usando apenas o recurso de encapsulamento do Cntlm, apenas não sei o que estou fazendo de errado.
Posso garantir que posso me conectar ao meu servidor SSH usando a porta 443 de fora da rede corporativa.