En même temps, s'ils autorisent le SSH, ils peuvent ouvrir tous les ports. Pour des gens qui savent se servir d'SSH, ça revient au même.
Personnellement, à la fac, comme on ne pouvait sortir qu'en 80/443, on utilisait des serveurs SSH qui écoute en 22 et 443 ^^

Pas vraiment, tu n'ouvres aucun port sur leur réseau. Tu fais du tunneling. C'est-à-dire que tu peux ouvrir des ports sur la machine au bout du tunnel qui seront redirigés vers la tienne, ou l'inverse. Mais tu ne peux pas passer par un autre port directement. Mais tu peux le faire avec n'importe quel port ouvert. Il suffit d'avoir un ordi de l'autre côté pour écouter.

Personnellement, j'avais un openvpn sur 443. Mais le problème reste le débit de mon ADSL, car le serveur VPN était à la maison.

Pour la suite de l'histoire, ils ont adhéré à éduroam où la charte stipule que le port 22 sortant doit être ouvert. En trainant les pieds, ils ont fini par le faire.
Enfin on pouvait transférer des fichiers de son compte de la fac à son ordi perso.

Le pebkac ici est bien le fait de parler de sécurité en forçant les gens à utiliser des protocoles non chiffrés (diffusion du mdp).

Par "gens qui savent se servir d'SSH", il voulait dire gens qui connaissent l'existence de tsocks, du forwarding dynamique ou du mode Tunnel d'openssh. Et dans ce cas, je t'assure qu'opérationnellement c'est comme s'il n'y avait pas de filtrage.

Pas besoin de ssh pour cela. Comme je disais tu peux le faire avec n'importe quel port et un proxy de l'autre coté.

Il y en a même qui ont réussi à faire du tcp over dns ...

Je rappelle dans ce cas open vpn sur le 443 fonctionne très bien. Donc techniquement ...

Le problème reste de trouver un proxy avec une bonne bande passante.
Si l'admin de la fac fait écouter son serveur ssh sur le 443 pour palier à son blocage du 22.
Je me poserais des questions sur sa santé mentale :)

but2ene un bon tuto openVPN à me conseiller? J'avais déjà tenté mais en vain (par manque de temps et/ou flemmardise de bien me penché sur le truc)

Celui-ci est pas mal et assez complet :
http://www.majorxtrem.be/tag/openvpn/

Mais c'est pas la question Geneviève, on parlait de tes élucubrations sur la prétendue limitation de SSH au "tunnelling" de ports individuels, alors que ça fait des lustres qu'OpenSSH supporte le forwarding _dynamique_ qui émule un proxy socks, et protège n'importe quelle application utilisant tcp wrappée par tsocks, ET le mode tunnel qui passe par un tun device et offre une fonctionnalité équivalente à openvpn.

Si tu t'inventes des questions Roger. Relis mon premier, post, je ne parle nullement de limitation. Je dis juste SSH ne crée pas de troue de sécurité, il ne fait que relier que deux machines. Il n'ouvre aucun port sur leur réseau, il ne fait que du tunelling. L'option -D 1234 ouvre qu'un port celui qui sera redirigé vers le proxy socks (1234) monté par le serveur ou client SSH de l'autre coté.

Si tu veux que je parles des limitation de SSH et de tsocks:
- l'udp ne passe pas contrairement à un open vpn où tu peux même tunnelier du niv 2 en mode TAP. C'est con pour le dns: redirection du 53 UDP vers le 8.8.8.8 (il faut utiliser socat ou autre - pas de base) ;)
- il est uni directionnelle (tu dois t'en farcir deux et tout rediriger vers le proxy via iptables)...
- tu ne peux que relier deux machines à la fois. Joie et bonheur à 3 dans le routage si toute fois t'arrive à monter le deuxième tun ^^

Mais comme je le dis depuis le début, s'il y a un port d'ouvert le filtrage sortant ne sert à rien (un simple proxy socks - un vrai tant qu'à faire - ou un vpn). À part faire chier.

Pour revenir au pebkac, le fait d'ouvrir le 22 autorisera simplement les gens à connecter sur leur compte à la fac sans passer par la maison. Soit passer d'un pauvre 54mbps symétrique à un 2mbps. Ce qui évitera beaucoup de débranchement dans les salles de TP.

Merci je vais regarder ça (en pus le tut oest basé sur debian parfait)

Ah, mais quand Anne ô Nyme écrit "ils peuvent ouvrir tous les ports", "ils" ce sont évidemment les admins, pas les utilisateurs.

Sinon, un petit RTFM de ssh_config ? "Tunnel ethernet" pour lui faire utiliser un tap.

EDIT: voups, pas répondu au bon endroit.

RTFM : ça n'a rien à voir avec sockt. J'ai eu des soucis pour communiquer entre deux clients. Puis l'option ne marche pas avec dropbear. Peut-être ça a été résolu dans la dernière version.

Tu vas me dire dans deux minutes que tu peux forwarder un flux openvpn.
Tu dois être le genre de gars préférant enfoncer un clou avec un tournevis plutôt qu'un marteau.

J'ai l'impression de voir un commentaire quant à l'administration réseau de ma faculté. Deux réseaux "ouverts" avec un portail captif, une déconnexion automatique au bout de quelques minutes d'inactivité sur le port 80/443, ... Et un réseau eduroam utilisable, quoique parfois il faut jouer avec le DHCP_TIMEOUT, permettent semblerait-il de 'se connecter à MSN Messenger' (aucune idée de quand date la documentation), mais évidemment pas XMPP ça serait trop demander.

Je compatis.

@But2ène
"Pour la suite de l'histoire, ils ont adhéré à éduroam où la charte stipule que le port 22 sortant doit être ouvert. En traînant les pieds, ils ont fini par le faire."
Chez nous (Nantes), on est aussi sur éduoram, et il n'est pas ouvert. par contre on a le droit de se connecter à un serveur de l'univ en 22 et de faire du tunneling, pour les services que l'on veut ......

Ben au lina le ssh passe via eduoroam. J'y suis actuellement. Par contre le port de gtalk ou msn ça ne passe pas
:(

ps : il est possible que dans les autres bâtiments, il y ait des contraintes plus fortes.
Voici mon ip actuelle : 193.52.83.10 clem peut certifier ;)