SSHD real-ip por trás do haproxy

Navegue suas respostas
2

Estou tentando configurar uma conexão ssh por https usando o haproxy.

Atualmente, estou procurando uma maneira de o SSHD obter o IP de origem do haproxy, semelhante à leitura de X-Forwarded-For ou X-Real-IP cabeçalhos.

configuração do cliente; 

~$ cat ~/.stunnel/stunnel.conf
pid=
client=yes
foreground=yes
[ssh]
accept=4444
connect=ssh.example.com:443

saída do cliente; 

~$ ssh -v -p 4444 user@localhost
OpenSSH_6.6.1, OpenSSL 1.0.1i 6 Aug 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to localhost [::1] port 4444.
debug1: match: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2 pat OpenSSH_6.6.1* compat 0x04000000
.....
debug1: SSH2_MSG_KEXINIT sent
Bad packet length 1349676916.
Disconnecting: Packet corrupt

configuração do servidor; 

~$ cat /etc/haproxy/haproxy.cfg
frontend public
        mode tcp

        bind :80
        redirect scheme https code 301 if !{ ssl_fc }

        bind :443 ssl crt example.pem no-tls-tickets

        tcp-request inspect-delay 5s
        tcp-request content accept if HTTP

        # ....
        use_backend ssh if { ssl_fc_sni ssh.example.com }


backend ssh
        mode tcp
        server ssh 127.0.0.1:22 send-proxy
        timeout server 2h

saída do servidor; 

~$ tail -f /var/log/haproxy.log
Aug 15 23:31:57 localhost haproxy[50379]: 115.000.000.000:51924 [15/Aug/2014:23:31:57.907] public~ ssh/ssh 2/0/8 60 SD 0/0/0/0/0 0/0

~$ tail -f /var/log/auth.log
Aug 15 23:31:57 localhost sshd[50757]: debug1: inetd sockets after dupping: 3, 3
Aug 15 23:31:57 localhost sshd[50757]: Connection from 127.0.0.1 port 36333 on 127.0.0.1 port 22
Aug 15 23:31:57 localhost sshd[50757]: Bad protocol version identification 'PROXY TCP4 115.000.000.000 192.168.000.000 51924 443' from 127.0.0.1 port 36333

A linha send-proxy no haproxy.cfg está causando o Bad protocol version identification

Eu posso me conectar ao remover send-proxy , mas isso se conecta a partir de 127.0.0.1 , que é continuamente anexado a /etc/hosts.deny 

Aug 15 23:55:22 localhost sshd[55997]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
Aug 15 23:55:22 localhost sshd[55997]: debug1: inetd sockets after dupping: 3, 3
Aug 15 23:55:22 localhost sshd[55997]: debug1: Connection refused by tcp wrapper
Aug 15 23:55:22 localhost sshd[55997]: refused connect from localhost (127.0.0.1)

Eu preferiria que o ssh conhecesse o ip de origem.

    
por Thermionix 15.08.2014 / 15:58

2 respostas

3

Em mode tcp , você não tem tproxy para passar o IP do cliente original para o servidor por trás de haproxy .

O artigo vinculado tem muitos antecedentes técnicos, a maioria dos quais não é mais um problema - versões recentes do Linux e haproxy provavelmente suportarão o tproxy pronto para uso.

TL; DR na seção de back-end, tente 

source 0.0.0.0 usesrc clientip
    
por 15.08.2014 / 23:23
1

Isso não é possível, eu tenho medo. Ao contrário do HTTP, o protocolo SSH não tem como um proxy dizer qual era o IP original da fonte.

    
por 15.08.2014 / 15:59

Tags

Aplique o GPO ao grupo do AD do usuário ao usar computadores em uma determinada OU Desativar o tempo limite da sessão remota no Windows Server 2012 R2