2011-11-08

SSH falseando la IP con una de la maquina

En uno de mis proyectos se presento un problema por que los ISP no son capaces de enrutar las redes de conexión de una WAN, me explico para los que no saben de que estoy hablando. Tu tienes un FW con Debian y tienes una tarjeta configurada para Internet, una tarjeta configurada para tu LAN (192.168.0.0/24) y una tarjeta donde configurada con el direccionamiento que te dio tu ISP para la WAN (10.0.1.0/29), esa última red nunca la colocan en las tablas de enrutamiento, entonces si quieres hacer ssh al FW de la otra sede te toca desde una maquina interna.

Te imaginas tu un lunes festivo que te llamen que necesitan probar una configuración en esa otra sede y tu no tengas ninguna maquina interna en tu red LAN desde la que puedas saltar a esa otra sede. Bueno pues me paso este lunes festivo, pero como todo en Linux existe una solución sencilla como siempre.

Primero les voy a colocar una gráfica sencilla de como es la red


Entonces la IP de la sede principal es 192.168.0.1 y la de la sede secundaria es 192.168.10.1, por lo que para poder usar SSH me tocaría desde adentro de la LAN pero el comando ssh posee una opción que me permite indicarle con que IP de la maquina salir, por lo que el comando queda así

root@localhost:~# ssh -b 192.168.0.1 192.168.10.1

Así el FW de la sede secundaría recibe la conexión con la IP 192.168.0.1 y me permite tomar control del mismo, siempre y cuando en las reglas del FW este permitido