HTTPS oder HTTP?

[1GENNADIY]

Hallo!
Ich komme in der Schule durch den Proxy (wo kein ssh erlaubt ist) mit:
ssh -L 8080:localhost:3128 <Benutzername>@<dyndns-account> -p443 -F /home/<Benutzername>/.ssh/configfile
wobei in configfile steht:

Code: Alles auswählen

Host *
  ProxyCommand corkscrew <Schule-Proxy> 8080 %h %p ~/.ssh/proxyauth

und in proxyauth mein Schule Benutzer-PW steht.
Als ich von ein Paar Wochen das einrichtete, startete ich Wireshark (as root) und ich errinere mich, das zwieschen meinem Rechner und Schule-Proxy eine HTTPS-Verbindung existierte (so verstehe ich gut, wenn ich Option "-p443" in ssh einstelle). Die Aufzeichnung damals habe ich nicht gemacht. Jetzt, wenn die Verbindung auf gleiche Weise aufbaue, bekomme ich eine HTTP-Verbindung. Der Ausschnit ist hier:
http://nopaste.debianforum.de/25317
Meine Frage: warum hat sich Verbindungsprotokol verändert? Ich hätte den Admin gefragt, da ich da arbeite, aber es ist ja nicht erwünscht . Danke, Mit Gr., Gennadiy

[Danielx]

Du verbindest dich doch zuerst von deinem Rechner im Schul-Netzwerk (172.16.3.168) mit dem Schul-Proxy (172.16.0.5) auf Port 8080 (http-alt) und erst der Schul-Proxy verbindet sich dann über Port 443 zu deinem DynDNS-Rechner.
Ich kann hier also keinen Widerspruch erkennen.
Was hört eigentlich auf deinem DynDNS-Rechner auf Port 3128?

Gruß,
Daniel

[1GENNADIY]

@Danielx -

Was hört eigentlich auf deinem DynDNS-Rechner auf Port 3128?

Ein Squid-Proxy. Ich erinnere mich an die dauernde HTTPS-Verbindung, die ich auf WLAN-Schnittstelle aufzeichnete (wo sonst konnte ich "capturen"?), über die ich zu Schul-Netz komme. Danke! Mit Grüßen, Gennadiy
Edit: Ich verstehe das so, das ich diesen Schul-Proxy "captured" habe und dieser diese Verbindung als HTTPS auflöste. ?
Edit 2: In der Anleitung, nach der ich aufbaute, steht:

Note that even when you use HTTPS through the proxy, the server name is exposed so a logging proxy will see what HTTPS servers you connect to

Ist das der Fall bei mir?

[Danielx]

Ein Squid-Proxy

Mit der Option "-D" verhält sich ssh wie ein SOCKS-Proxy (für genauere Infos, siehe "man ssh" oder hier im Forum), das mit dem Squid kannst du dir also möglicherweise sparen, also in etwa so:

Code: Alles auswählen

ssh -D 1234 <Benutzername>@<dyndns-account> -p443 -F /home/<Benutzername>/.ssh/configfile

Z.B. in deinem Firefox oder Iceweasel gibst du diesen SOCKS-Proxy (localhost oder 127.0.0.1 und Port 1234) dann, so wie ich hier beschrieben habe, an:
viewtopic.php?p=577748#p577748
viewtopic.php?p=611236#p611236

Edit: Ich verstehe das so, das ich diesen Schul-Proxy "captured" habe und dieser diese Verbindung als HTTPS auflöste. ?

Du hast die Verbindung zwischen deinem Rechner im Schul-Netzwerk und dem Schul-Proxy mitgeschnitten.
Diese Verbindung ist eine SSH-Verbindung, die leicht verändert wurde, damit der Schul-Proxy diese für eine HTTPS-Verbindung hält und somit durchlässt.

Ist das der Fall bei mir?

Der Proxy kann immer sehen zu welchem Rechner du die SSH-Verbindung aufbaust.

Gruß,
Daniel

[1GENNADIY]

@Danielx - Danke!
Ich habe gedacht, dass wenn ich die Option "-p443" in ssh eingebe, dann wird die Verbindung zu HTTPS (und wird entsprechend aufgelöst) - und das auf der ganzen Strecke - Rechner-im-Schulnetz<->Schul-Proxy<->mein-Home-Server und weiter - schon HTTP (auf der Strecke Home-Server<->Weites-Internet). Wenn ich mich irre ... Aber es wird kompliziert, da es noch corkscrew im Spiel ist - das überfordert mich (Queltext in C). Mit Gr., Gennadiy

[Danielx]

Ich habe gedacht, dass wenn ich die Option "-p443" in ssh eingebe, dann wird die Verbindung zu HTTPS

Nein, damit änderst du lediglich den Port auf 443, auf welchem üblicherweise HTTPS-Verbindungen angenommen werden, bei dir wartet dein Home-Server aber auf diesem Port auf eine SSH-Verbindung.
Der verwendete Port sagt nichts darüber aus, welches Protokoll letztendlich verwendet wird.

Aber es wird kompliziert, da es noch corkscrew im Spiel ist - das überfordert mich (Queltext in C).

Corkscrew verwendet die HTTP-Methode "CONNECT" um die Verbindung (SSH, OpenVPN u.s.w.) unverändert durch den Proxy zu bekommen, hier ein Zitat, welches dir beim Verständnis behilflich sein sollte:

Die zweite Möglichkeit ist die HTTP-Methode CONNECT, mit der eine Verbindung zum gewünschten Server und Port aufgebaut werden kann:

CONNECT http://www.fremder-server.example:443 HTTP/1.0


HTTP/1.1 200 Connection established
...

Eine Antwort wie im Beispiel bedeutet, das der Proxy die Verbindung zum Ziel wie gewünscht aufgebaut hat. Danach wird der gesamte folgende Traffic zum und vom Ziel ohne weitere Bearbeitung weitergeleitet, was auch das Tunneln anderer Protokolle und damit Angriffe auf andere Server als HTTP-Server ermöglicht. Viele Proxy-Server schränken jedoch die über die CONNECT-Methode erreichbaren Ports stark ein, oft sind nur Verbindungen zum für HTTPS verwendeten Port 443 möglich.

Quelle: http://it-republik.de/php/news/About-Se ... 49794.html

Gruß,
Daniel

[uname]

Auch wenn es nicht gefragt war. Als Alternative kann man sich noch:

http://packages.debian.org/de/lenny/connect-proxy

anschauen.

[1GENNADIY]

Hallo! Ich habe "erfolgreich" mit Option -D von ssh probiert; aber als ich zu meiner früheren Einstellungen zurückkeheren möchte, bekomme ich im Terminal kein Weites Internet. Ich verbinde mich mit meinem Home-Server (s. erster Post); In System->Preferences->Network Proxy steht auf "Manual Proxy Configuration", HTTP Proxy: 127.0.0.1, Port 8080, "use the same Proxy for all Protocols" - Häckchen rein. Ich kann mich zuerst mit Weitem Internet verbinden mit Epiphany Web Browser; im Terminal aber habe ich kein Internet. Hier noch Kommandozeile:

Code: Alles auswählen

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:22:64:6a:77:3b  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:7502 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4930 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:9604189 (9.1 MiB)  TX bytes:718658 (701.8 KiB)
          Memory:e4600000-e4620000 

eth1      Link encap:Ethernet  HWaddr 00:21:00:85:39:00  
          inet addr:172.16.3.168  Bcast:172.16.255.255  Mask:255.255.0.0
          inet6 addr: fe80::221:ff:fe85:3900/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11826 errors:0 dropped:0 overruns:0 frame:470
          TX packets:1303 errors:174 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1441266 (1.3 MiB)  TX bytes:238791 (233.1 KiB)
          Interrupt:17 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4327 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4327 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:631986 (617.1 KiB)  TX bytes:631986 (617.1 KiB)
# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         172.16.0.2      0.0.0.0         UG    0      0        0 eth1

Danke! Mit Grüßen, Gennadiy

[uname]

im Terminal aber habe ich kein Internet.

Was möchtest du denn haben? Ein Default-GW ins Internet? Hierfür musst du SSH-VPN oder OpenVPN über den HTTP-Proxy nutzen. Grundvoraussetzung sind TUN-Devices auf Client und Server. Natürlich musst du jeweils "root" sein.

Solltest du nur einen Proxy nutzen wollen, so kannst du die Umgebungsvariablen entsprechend umstellen.

[1GENNADIY]

Ich versuche mit:

Code: Alles auswählen

$ export http_proxy="http://localhost:8080/"; ping -c 1 yahoo.de
PING yahoo.de (217.146.186.221) 56(84) bytes of data.
^C
--- yahoo.de ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

und bekomme keine Verbindung. Außerdem hatte ich mit links2 vorher auch die Verbindung, jetzt nicht mehr. Und exportieren Proxy sollte ich nur für aptitude... Die Einstellungen waren irgendwie global, bis auf Evolution, die keinen Proxy verträgt. Noch Kommandozeile:

Code: Alles auswählen

# netstat -tulpen | grep 127.0.0.1
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      1000       47148       9495/ssh        
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          7334        2684/exim4

Mit Gr., Gennadiy

[uname]

HTTP-Proxy ist für die TCP-Anwendungen HTTP, HTTPS und maximal noch FTP zuständig. Was soll das mit ICMP PING zu tun haben?

http://de.wikipedia.org/wiki/Internetprotokollfamilie

[1GENNADIY]

Ja, gut, ich habe gelesen, habe aber noch Fragen. aptitude geht:

Code: Alles auswählen

export http_proxy=http://127.0.0.1:8080/; aptitude update
Hit http://ftp.de.debian.org lenny Release.gpg                                
Hit http://security.debian.org lenny/updates Release.gpg
<skip>

aber links2 kommt nicht ins Internet, mit oder ohne Exportieren der Variable:

Code: Alles auswählen

export http_proxy=http://localhost:8080/; links2 -g http://www.yahoo.de

Und ich erinnere mich, dass links2 diese Exportieren nicht brauchte...
Mit Gr., Gennadiy

[uname]

Im Zweifelsfall immer Manuals lesen:

Code: Alles auswählen

man links2

Aufruf:

Code: Alles auswählen

links2 -http-proxy localhost:8080 http://www.yahoo.de

Auch sehr schön ist "w3m":

Code: Alles auswählen

export http_proxy=http://localhost:8080
w3m http://www.google.de

[1GENNADIY]

@uname - Danke!

links2 -http-proxy localhost:8080 http://www.yahoo.de

Habe genau so gemacht und wieder vergessen
Mit Gr., Gennadiy