Existem desvantagens no tunelamento SSH?

Navegue suas respostas
11

Eu recentemente "comprei" um VPS que eu quero usar como Proxy para poder usar alguns sites e coisas que não posso alcançar da Alemanha.

Como eu ainda estava com preguiça de configurar o Squid e o OpenVPN (que atualmente acho que é necessário), eu uso o ssh-tunneling.

Agora, depois de algumas semanas, eu me perguntei se o tunelamento não estava bem, ou - e essa é a minha pergunta - se há alguma ressalva / contras / desvantagens que eu precise ter em mente?

    
por Nils Riedemann 19.03.2012 / 11:32

3 respostas

10

O problema de desempenho surge quando você está tunelando TCP sobre TCP, porque você tem duas camadas fazendo correções adaptativas (início lento, evitar congestionamento, restransmitir rápido, ver RFC2001 ).

Não se conscientizando um do outro, eles terão grandes dificuldades se você tiver perda na conexão externa.

Esta página descreve o fenômeno em detalhes.

edit:

Em vez de ficar com o problema TCP over TCP, dê uma olhada no sshuttle que o impede.
Dê uma olhada na seção chamada " Teoria da Operação " para obter mais detalhes sobre essa situação.

    
por 19.03.2012 / 12:51
3

Uma coisa que eu posso pensar fora da minha mente é o desempenho. Mas isso realmente depende do tipo de coisa que você está tunelando.

    
por 19.03.2012 / 12:00
1

Normalmente, descobri que a latência aumenta, mas a taxa de transferência está boa (90%) do normal com o tunelamento SSH. Certifique-se de definir ServerAliveInterval para evitar desconexões e envolvê-lo em um script para continuar reiniciando o encapsulamento em caso de falha.

A principal desvantagem é que é um túnel de porta por TCP, a menos que você use SOCKS. O SOCKS é bom, mas a latência parece aumentar ainda mais com ele, e, é claro, nem todo cliente suporta o SOCKS.

Talvez seja necessário executar GatewayPorts no cliente ou no servidor SSH para permitir que outras pessoas se conectem por meio de seu túnel. No servidor, isso requer acesso root ao sshd_config.

A principal limitação de desempenho (como outros observam) é que as conexões não confiáveis provavelmente não se saem bem com essa abordagem, já que os algoritmos do TCP não reagem bem no encapsulamento.

Dito isto, o SSH parece "fazer a coisa certa" a maior parte do tempo.

    
por 25.01.2013 / 20:29

Tags

Por que um sistema pode não responder? Migrando do Ubuntu para o Debian