Post Friends My journal
desincarnated

подстройка tinyproxy или legacy более элегантных времен

Oct 19, 2020 22:18


вступление: дома, на дежурной коробочке (а точнее на болтающемся в углу полки за роутером одноплатничке) у меня стоит tinyproxy. Достаточно давно, по меркам дебиана. Пускает он, разумеется, только из локальной сети и с локалхоста, но, если в эту локальную сеть хитрым способом попасть и прокинуть туннель - то можно его юзать. Ибо случаи всякие бывают, да.

И вот, заселившись тут в постоялый двор, я внезапно нахожу что вайфай тут открытый. Тоесть вообще, сеть без безопасности с одной только страничкой регистрации. Это какраз тот случай для которого врпямую и существуют VPN, ssh туннели и их коммерческие реализации под брендом антивирусов или свободоборцев - банальная необходимость скрыть содержимое своего трафика от соседа со снифером, сидящего на тойже точке доступа. (Не обольщайтесь тем что вас не слушают, потому что вы никому не нужны. Слушают. Все молодые сисадмины делают ЭТО. И все айти-энтузиасты, мнящие себя хакерами - тоже. Хуже то, что это в промышленном масштабе делают и ботнеты - без ведома беспечных владельцев незащищенных ноутов, случайно оказавшихся в этойже гостинице, или без ведома пользователей незащищенных компов (а также терминалов оплаты и кассовых аппаратов) этой гостиницы, в штате которой нет айтишника.)

Соответственно, для винды, как минимум, нужно поднять туннель и разрешить интернет-активность только putty, а все остальное пускать через локальный прокси. (да, это не vpn, с которым пользователю проще, но мне нужно вот так.) Шифрование обеспечит собственно ssh, а пользовать интернет будем честно через домашний proxy.

И вот, прекрасно работавшая на суше, на море, и за опсос'ным Nаtом схема, внезапно, дает сбой.
Проброс порта есть, проброс порта к более другому сервису дома вполне работает, так что это не 'некие технические ограничения' а именно затык прокси.

Смотрим логи прокси: ничего и конекшн ресеты. что логично, дефолтный уровень лога - Error.
Ставим уровень Notice и видим что прокси ругается на коннект с запрещенного хоста... даже с нескольких: localhost и ::1. ...тоннель, минуточку, форвардит локальный порт на 127.0.0.1:proxyport!

ну, чо.

правильная запись разрешенных хостов в конфиге tinyproxy для работы с тоннелем в современной системе такая:

Allow 127.0.0.1
Allow localhost
Allow ::1
Allow 192.168.0.0/24

tech, kb

Leave a comment

Previous post Next post
Up
Homepage Read journal... Full version Help Русская версия
© 1999-2025 LiveJournal, Inc.