Surf anonyme sur Internet avec un tunnel SSH


Anonymous
Dans cet article, nous allons voir comment l'utiliser un tunnel SSH, afin de surfer anonymement sur Internet. Les connexions étant chiffrées, aucun tiers (fournisseur d'accès Internet, administrateur réseau d'une entreprise...) ne pourra analyser votre trafic réseau. Une bonne façon de préserver votre anonymat et déjouer les tentatives d'espionnage.

Sommaire

Fonctionnement 

Pour mettre en place ce système, il nous faut bien entendu un serveur dédié avec SSH. Si vous êtes la seule personne à l'utiliser, vous n'aurez pas besoin d'une machine très puissante. La plupart des serveurs dédiés bas de gamme devrait faire l'affaire.

Voici un petit schéma qui explique le fonctionnement d'une connexion Internet à travers un tunnel SSH :

Surfe anonyme sur Internet avec  un tunnel SSH

La méthode reste assez simple, si l'on ne rentre pas dans les détails :

  1. On branche le navigateur Internet de son PC en mode proxy sur l'adresse 127.0.0.1:8080
  2. Le trafic est alors acheminé à l'aide d'un tunnel SSH chiffré, vers le serveur
  3. Celui-ci s'occupe ensuite d'aller chercher les informations sur Internet à votre place
  4. Les données reviennent sur la machine cliente par le même chemin

Installation et configuration du serveur 

Aucune configuration particulière n'est nécessaire sur le serveur dédié. Normalement, le serveur openSSH est installé et activé sur la plupart des distributions Linux ou Unix, et la configuration par défaut suffit.

Si jamais ce n'est pas le cas, ouvrez un terminal et lancez les commandes suivantes pour une distribution à base de RPM par exemple :

yum install sshd
/etc/init.d/sshd start

Configuration d'un client Linux 

Notre serveur est maintenant opérationnel. Nous allons donc pouvoir y connecter notre machine cliente sous Linux par le biais d'un tunnel SSH. Pour y arriver, ouvrez un terminal sur votre ordinateur et lancez la commande suivante :

ssh user@serveur -C -N -D 8080

Cette commande va alors ouvrir un tunnel et en même temps une session SSH vers le serveur. Il faudra absolument garder celle-ci ouverte pour que le tunnel ne soit pas fermé.

Voici quelques explications concernant les options utilisées :

  • user@serveur : le compte SSH et l'adresse IP du serveur
  • -C : permet de compresser le trafic et utiliser moins de bande passante
  • -N : ne pas ouvrir de shell
  • -D 8080 : permet de créer le tunnel SSH. Tout le trafic envoyé sur le port local (8080) sera redirigé dans le tunnel vers le serveur et ensuite vers Internet

Configuration d'un client Windows 

Sous Windows, le protocole SSH n'est pas disponible par défaut. Pour y remédier, on peut utiliser le célèbre logiciel Putty. Une fois lancé :

  • Allez dans les menus Connection → SSH → Tunnels
  • Indiquez 8080 dans le champ Source port et chochez les case Dynamic et Auto
  • Cliquez ensuite sur Add :
  • Configuration de Putty

  • Retournez dans le menu Session et indiquez le compte de connexion et l'adresse du serveur dans le champ host :
  • Configuration de Putty

  • Pour finir, cliquez sur Open

Configuration du navigateur Internet 

Voici comment configurer votre navigateur en mode proxy socks. Avec Firefox, Allez dans le menu Options → Avancé → Réseau → Paramètres et utilisez la configuration suivante :

Configuration de Firefox en mode proxy

A la suite de cela, vous devriez pouvoir naviguer sur Internet comme vous le faites normalement.

Une remarque de @niluje en commentaire : il faut faire attention, si quelqu'un sniff le trafic au niveau du navigateur, il ne récupérera certes pas le trafic car il est chiffré mais il pourra voir toutes les requêtes DNS. Pour que les requêtes DNS soient aussi socks, il faut saisir l'adresse about:config dans Firefox et changer la valeur network.proxy.socks_remote_dns à true.

Testez votre adresse IP, la rapidité de la connexion et résoudre les problèmes de lenteur 

Voici quelques commandes bash très pratiques pour tester votre adresse IP et la rapidité de la connexion en passant par le tunnel. Ces dernières sont à utiliser sur la machine cliente Linux (si vous utilisez Windows, il faudra faire autrement) :

$ curl --socks5 127.0.0.1:8080 www.whatismyip.org
$ curl --socks5 127.0.0.1:8080 -w 'Lookup time:\t%{time_namelookup}\nConnect time:\t%{time_connect}\nTotal time:\t%{time_total}\n' -o /dev/null -s www.tux-planet.fr

Lookup time: 0.000
Connect time: 0.001
Total time: 0.035

Et sans tunnel :

$ curl www.whatismyip.org
$ curl -w 'Lookup time:\t%{time_namelookup}\nConnect time:\t%{time_connect}\nTotal time:\t%{time_total}\n' -o /dev/null -s www.tux-planet.fr

Lookup time: 0.001
Connect time: 0.009
Total time: 0.045

Si l'écart entre une connexion avec et sans tunnel SSH est trop important, la navigation sur Internet sera alors très lente. Si c'est votre cas, pensez à vérifier la configuration DNS du serveur (fichier /etc/resolv.conf) car c'est souvent la cause n°1 de ce genre de problème. Des commandes de test sont disponibles ici.

La sécurité liée à ce genre de service 

La meilleure façon de sécuriser ce genre de serveur est d'utiliser un firewall et d'autoriser uniquement les connexions SSH depuis des adresses IP connues. Voici un exemple de script IPTABLES qui devrait faire l'affaire dans la plupart des cas (pensez à adapter les variables) :

#!/bin/bash

# Variables
export IF_RESEAU="eth0"
export MY_IP="88.xxx.xxx.xxx"

# On efface toutes les regles existantes 
/sbin/iptables -F

# On supprime d'eventuelles regles personnelles
/sbin/iptables -X 

# Mise en place des regles par defaut (on refuse tout par default)
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# On accepte les connexions sur la boucle locale (sur lo == 127.0.0.1)
/sbin/iptables -A INPUT  -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# On autorise ssh que pour certaines adresses IP
/sbin/iptables -A INPUT -i $IF_RESEAU -p tcp --dport ssh --source $MY_IP -j ACCEPT

# On interdit le ssh pour les autres
# A mettre apres la liste des machines autorisee au ssh
/sbin/iptables -A INPUT -i $IF_RESEAU -p tcp --dport ssh -j DROP

# On accept le DNS + HTTP + HTTPS en sortie
/sbin/iptables -A OUTPUT -o $IF_RESEAU -p udp --dport 53    -j ACCEPT
/sbin/iptables -A OUTPUT -o $IF_RESEAU -p tcp --dport http  -j ACCEPT
/sbin/iptables -A OUTPUT -o $IF_RESEAU -p tcp --dport https -j ACCEPT

# On autorise les connexions deja etablies ou relatives a une autre connexion a sortir
/sbin/iptables -A OUTPUT -o $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT

# On autorise les connexions deja etablies a entrer
/sbin/iptables -A INPUT -i $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT

# On sauvegarde la configuration de iptables
/etc/init.d/iptables save

# On redemarre le service iptable pour prendre en compte la nouvelle configuration
/etc/init.d/iptables restart

# Chargement du module de gestion des connexion state 
# (autorisation des connexions deja etablies a passer le firewall)
# Sur distrib ovh, pas possible car noyau monolitique
/sbin/modprobe ip_conntrack

Si vous utilisez ce script, désactivez le démarrage automatique d'IPTABLES au boot du serveur, cela vous évitera des problèmes :

chkconfig iptables off
chkconfig ip6tables off

Mais, il est important de garder à l'esprit que si quelqu'un pirate le serveur, il pourra potentiellement capturer l'ensemble de votre trafic en sortie (avec tcpdump par exemple). C'est un peu le revers de la médaille. Il est donc important d'avoir un serveur à jour et de continuer à utiliser vos méthodes traditionnelles de connexions sur les sites sensibles (ex: utilisation de HTTPS).


42 Commentaires pour "Surf anonyme sur Internet avec un tunnel SSH"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Salutations

    Voilà qui pourra m'etre utile. Tres utile meme, et à pas mal de monde, par extension :)

    Merci, Bonne continuation, ++ Tixlegeek.

    RépondreRépondre
    Tixlegeek , le 30 juin 2011 à 21:23
  •  

    J'utilise a peu pres la meme chose mais sans squid, juste le tunnel ssh et cela fonctionne tres bien. Quelle est la plus-value du squid ?

    RépondreRépondre
    Guillaume , le 30 juin 2011 à 21:46
  •  

    @Tixlegeek : tiens je connaissais pas ton site. Hop ajoué à mes flux. :-)

    @Guillaume : alors là bonne question. En faite j'y ai même pas réfléchi, du coup ça marche comment ? SSH va chercher les pages web directement ? Tu as une configuration particulière ?

    RépondreRépondre
    pti-seb , le 30 juin 2011 à 22:00
  •  

    est-il possible de faire passer cette connexion sur un autre programme par exemple teamspeak3? je sais que sous windows ya certain prog comme sockscap ou freecap qui permettent de faire passer tous sa(socks5 et socks4) avec d'autre prog, je sais pas si sur un client linux ya un équivalent.

    Sa vous parle ou pas?

    bonne continuation ;-)

    RépondreRépondre
    sl33k , le 30 juin 2011 à 22:23
  •  

    @pti-seb:

    ssh user@host -D port

    Qui fonctionne comme un proxy SOCKS sur 127.0.0.1:port en sortie sur host.

    RépondreRépondre
    Yoha , le 30 juin 2011 à 22:25
  •  

    Pas de conf radicalement différente, par exemple : http://thinkhole.org/wp/2006/05/10/howto-secure-firefox-and-im-with-putty/ : proxy socks dans firefox + ports dynamique dans putty et 0 conf au niveau serveur ;)

    RépondreRépondre
    Guillaume , le 30 juin 2011 à 22:26
  •  

    @sl33k : oui c'est possible, moyennant une adaptation des configurations.

    @Guillaume @Yoha : autre question, avec vos méthodes, c'est bien l'adresse du serveur qui apparaît sur les sites visités ? Avons nous la même possibilité de masquer l'adresse IP comme pour Squid (option forwarded_for off) ?

    RépondreRépondre
    pti-seb , le 30 juin 2011 à 22:34
  •  

    Sans squid, c'est bien évidemment l'IP du serveur qui sera communiquée. Je ne vois pas non plus l'intérêt de l'installer, un simple sshd suffit.

    Je rajoute qu'il faut faire attention : si quelqu'un sniff le traffic au niveau du navigateur, il ne récupèrera certes pas le traffic car il est chiffré mais il pourra voir toutes les requêtes dns. Pour que les requêtes dns soient aussi socks, il faut mettre dans le about:config network.proxy.socks_remote_dns à true.

    RépondreRépondre
    niluje , le 30 juin 2011 à 23:14
  •  

    @all : je viens de mettre une nouvelle version de l'article, sans Squid ce coup-ci. Ça simplifie vachement les choses. Merci pour vos remarques.

    @sl33k : la nouvelle version de l'article marche avec socks5, tu devrais pouvoir faire passer autre chose que du HTTP dans le tunnel SSH maintenant. :-)

    @niluje : je rajoute ton astuce pour le DNS. Merci.

    RépondreRépondre
    pti-seb , le 30 juin 2011 à 23:22
  •  

    @pti-seb : la question c'est comment faire passer sa? car sous linux je ne connais pas d'équivalent pour proxifié les programme comme freecap ou sockscap (sachant que tous les programme ne propose pas forcement des configuration réseau comme mozilla et utilise la connexion par defaut)

    RépondreRépondre
    sl33k , le 30 juin 2011 à 23:35
  •  

    Je rajoute qu'un ssh -N permet aussi de ne pas lancer de shell et de juste faire un tunnel. Pratique dans le cas où on a pas besoin d'accéder à la machine : dans le cas où quelqu'un prendrait physiquement le clavier, si ce n'est pas utile, autant ne pas lui laisser un accès sur le serveur.

    RépondreRépondre
    niluje , le 30 juin 2011 à 23:50
  •  

    @niluje : c'est ajouté. Cette option peut aussi permettre de ne pas fermer un terminal sans faire exprès (ex: tiens un shell ouvert qui sert à rien, je le ferme ... clap plus de connexion Internet).

    RépondreRépondre
    pti-seb , le 1 juillet 2011 à 00:01
  •  

    Super l'article maintenant :)

    RépondreRépondre
    Guillaume , le 1 juillet 2011 à 00:08
  •  

    Sinon on peut aussi utiliser tsocks.
    http://www.bordel-de-nerd.net/2009/09/commandes-en-vrac-2/#content

    RépondreRépondre
    jlaunay , le 1 juillet 2011 à 00:09
  •  

    j'ai deja essayer tsocks sa n'a pas l'air de fonctionner avec teamspeak3, je crois qu'ils ont fait exprès de bloquer les proxy.

    RépondreRépondre
    sl33k , le 1 juillet 2011 à 00:18
  •  

    gSTM power pour les tunnel ssh. Un tres bon outil graphique pour gérer ses tunnels.

    RépondreRépondre
    baboon , le 1 juillet 2011 à 00:20
  •  

    Merci pour l'astuce je vais tester cela.

    J'ai une connexion adsl totalement bridée sur certains sites populaires, et à côté de ça je dispose d'un VPS chez OVH. Je vais donc tenter de passer par lui via un tunnel SSH et voir si cela améliore la situation.

    RépondreRépondre
    src , le 1 juillet 2011 à 00:29
  •  

    j'arrive à faire passer sans souci firefox, mais alors teamspeak c'est une autre paire de manche ...

    quelqu'un veux bien m'aider?

    RépondreRépondre
    sl33k , le 1 juillet 2011 à 00:34
  •  

    Bonjour,

    Très bon article, mais il y a quelque chose qui m'échappe (ou alors qui échappe à tout le monde):
    La sécurité n'existe qu'entre le browser et la serveur ssh, quand à l'anonymat... bof.
    Si quelqu'un essaye d'espionner mon traffic web, il va vite se rendre compte que celui-ci passe (probablement) par un tunnel ssh vers un proxy. Du coup qu'est ce qui l'empêche d'espionner la connection à la sortie du proxy (s'il a les moyen de sniffer ma connexion, pourquoi ne pourrait-il pas le faire sur une autre) ?
    Idem pour l'anonymat. Si quelqu'un essaye de remonter la source d'une connexion, il va tomber sur le proxy, et de là, il verra qu'une connexion ssh repart vers une machine,probablement la source.
    Bien entendu, l'anonymat augmente à mesure que le proxy est partagé par de nombreux utilisateurs...

    Je me plante totalement ?

    RépondreRépondre
    zkma , le 1 juillet 2011 à 09:12
  •  

    J'allais poser la même question...
    Si je loue un serveur dédié et passe par SSH pour mes longues heures de branlettes pédo-porno, qu'est ce qui empêche les autorités de demander qui loue le serveur en question ? L’anonymat me semble assez limité si on n'est pas 2000 utilisateurs sur le même serveur. C'est sur que ça peut résoudre certains problèmes de bridage mais si on veux être anonyme il vaut sans doute mieux louer un serveur en Russie ou tout du mois hors UE.

    RépondreRépondre
    Goda , le 1 juillet 2011 à 09:57
  •  

    @zkma : pour moi t'as carrément raison.
    le message n'est crypté que sur un partie du trajet après c'est en claire.

    Dans l'idée c'est comme si tu utilise un proxy mais que la partie entre le client et le proxy est crypté.
    Donc c'est mieu que rien mais t'es pas encore totalement caché du monde.

    Moi les tunnel SHH je les utilisais surtout pour passer a travers de firewall quand j'etais a la fac pour surfer librement sans filtrage mais pas pour la sécurité.

    RépondreRépondre
    bibitte , le 1 juillet 2011 à 10:19
  •  

    La connexion n'est chiffrée que sur la route Client - Proxy. Pour le reste, le trafic reste en clair.

    Cette méthode n'est en fait efficace que dans des cas bien précis, comme par exemple l'accès à un wifi publique, mais NE SÉCURISE PAS l'intégralité de la connexion.

    On a déjà cité l'exemple des requêtes DNS, qui sont transmises en clair.

    L'utilisation de cette méthode permet de sécuriser sa navigation lorsqu'on est connecté à un réseau publique qu'on ne maîtrise pas. Cependant, une connexion https (en prenant garde à l'usurpation de certificat, pour cela il existe des plugins, notamment pour Firefox, de type "CertPatrol") est effectivement requise pour toute manipulation de données sensibles (et franchement, niveau sécurité informatique, si vous voulez manipuler des données sensibles, n'utilisez pas d'ordinateur) (oui, ça peut paraître bizarre, mais bon...).

    Pour l'anonymat, soyons clairs : non, cette méthode ne permet pas d'anonymiser votre navigation. L'anonymisation comprend deux aspects : le contenu et le contexte. Chiffrer le contenu permet "d'anonymiser" les données, c'est à dire que personne (normalement) n'est capable de voir ce que vous téléchargez. Mais on peut très rapidement savoir QUI vous êtes si vous ne prenez pas garde au contexte. C'est ce qu'on appelle "protection de la vie privée" : on ne sait pas ce que vous faites, mais on sait que vous faites quelque chose.

    Pour un véritable anonymat, on DOIT "anonymiser" contexte et contenu. Le contenu, on le chiffre. Le contexte, on fait gaffe. Il n'y a pas de solutions toutes faites pour protéger son contexte, mais un ensemble de bonnes pratiques. Bien sûr, on peut utiliser TOR, qui, lui, protège très bien le contexte. Et dans ce cas, c'est à vous de protéger le contenu. D'autres solutions existent qui sont plus rapides que TOR et qui fournissent une protection de contexte satisfaisante (comprendre : hors de portée des script-kiddies), mais les bonnes pratiques sont toujours les mêmes (avoir un navigateur ou un profil configuré "pour la navigation anonyme", sans plugin de trop, sans mots de passe enregistrés, sans javascript ni flash, de préférence un navigateur pas trop récent reconnu sans failles de sécurité pour le moment, tout chiffrer, tout contrôler, ne pas donner de mail ou toute autre info personnelle évidemment (pour cela, il existe des services de mail jetables), et éviter les cookies au maximum, demandez à être prompté à chaque fois, pour tout ce qu'il se passe, etc.)

    Enfin bref, l'anonymat, ce n'est pas une solution technique mais une bonne pratique, restrictive, et qui ne sera jamais "aisée". La protection de la vie privée, elle, se contente bien de solutions techniques faciles et de quelques lois.

    Bisous :)

    RépondreRépondre
    lap1.blanc , le 1 juillet 2011 à 10:49
  •  

    Attention à la configuration de votre navigateur pour que les requetes DNS ne fuitent pas sur votre réseau local. Sous Firefox il faut active un bit à la main dans About:config.

    Sinon je voulais recommender sshuttle qui fonctionne sous Linux et Mac. C'est un veritable VPN du pauvre qui utilise n'importe qui utilise un serveur SSH distant (pas de droit admin requis). Les requêtes DNS peuvent passer dans le tunnel avec l'option --dns.

    https://github.com/apenwarr/sshuttle

    RépondreRépondre
    alphazo , le 1 juillet 2011 à 11:22
  •  

    Et si tu veux encore plus de souplesse, tu peux même monter un tunnel VPN basé sur ssh entre ta machine cliente et ton serveur grâce aux interfaces tun/tap. En plus, ta gateway est située sur l'hôte distant.

    #suppression de la route par défaut
    ip route del default
    #on indique à la machine comment joindre host.domain.net (attention au DNS)
    ip route add host.domain.net via a.b.c.d
    #On lance la connexion qui va créer une interface tun de chaque côté
    ssh -w any user@host.domain.net
    (Puis côté local)
    #configuration de l’interface tun0
    ip address add 10.0.0.10/24 brd + dev tun0
    ip route add 10.0.0.0/24 dev tun0
    #Ajout de la route par défaut de l’hôte local; i.e. tout prend le tunnel
    ip route add default via 10.0.0.20
    (et côté distant)
    #configuration de l’interface tun0
    ip address add 10.0.0.20/24 brd + dev tun0
    ip route add 10.0.0.0/24 dev tun0
    #Accès à internet par eth0
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -o eth0 -j MASQUERADE

    Et ça, ça roxxe des ours.

    RépondreRépondre
    Kevin , le 1 juillet 2011 à 11:50
  •  

    @all : Les connexions étant chiffrées, aucun tiers (fournisseur d'accès Internet, administrateur réseau d'une entreprise...) ne pourra analyser votre trafic réseau.

    L’intérêt de cette méthode c'est d'être anonyme aux yeux de votre FAI ou de votre entreprise. C'est sur que cela n'est pas anonyme d'un point de vue de la justice, étant donnée que l'adresse IP du serveur est rattachée à votre identité.

    Si vous voulez du full anonyme, il faudra utiliser des réseau comme TOR, mais c'est super lent...

    @alphazo @Kevin : j'ai regardé vite fait du coté des serveur de VPN comme OpenVPN avant de tester les tunnels SSH. C'est vraiment plus compliqué à mettre en place, les tunnels SSH sont bien plus simple.

    RépondreRépondre
    pti-seb , le 1 juillet 2011 à 12:07
  •  

    sshuttle est basé sur ssh. Pour que toutes les transactions TCP et DNS passent dans un tunnel avec un serveur DNS distant je n'ai qu'a taper:

    sshuttle --dns -r monserveurssh 0.0.0.0/0

    C'est basé sur iptable. Ca marche même sur un téléphone type N900.

    RépondreRépondre
    alphazo , le 1 juillet 2011 à 12:11
  •  

    @pti-seb : Dans ce cas, il ne s'agit pas d'anonymat mais de protection de la vie privée. Encore une fois, attention aux mots, ils ont un sens, surtout dans le domaine de la protection des données.

    RépondreRépondre
    lap1.blanc , le 1 juillet 2011 à 12:21
  •  

    @pti-seb:
    Ma méthode est un tunnel SSH! mais il monte une interface réseau, donc tu peux rediriger l'intégralité des flux. regarde l'option -w dans le man.
    C'est aussi puissant qu'openvpn, mais beaucoup plus simple puisque basé sur du ssh standard.

    RépondreRépondre
    Kevin , le 1 juillet 2011 à 12:32
  •  

    Superbe article.
    Un pote en chine voulait justement un VPN pour surfer librement et on a encore un peu de mal a mettre en œuvre openvpn. Avec cette solution c'est super!

    1000 Merci!

    RépondreRépondre
    Nico , le 1 juillet 2011 à 14:32
  •  

    @Kevin : comment tu fait pour te connecter à ton vpn ssh par la suite sur un poste client linux?

    RépondreRépondre
    sl33k , le 1 juillet 2011 à 14:38
  •  

    @sl33k:
    mais tu es _déjà_ connecté.

    Tu as un lien physique (câble RJ45), et une interface physique eth0

    ma méthode te crée une interface virtuelle, tun, avec un lien virtuel qui te relie au tun de l'autre machine distante. Tes paquets sont chiffrés sur ce lien virtuel. Ensuite, ça n'est qu'une question de routage.
    Si tu supprimes comme dans mon exemple ta route par défaut pour la faire sortir par la machine distante, alors tous tes paquets utilisent ce tunnel. Et il n'y a aucun paramétrage à faire sur les applications. C'est bô.

    RépondreRépondre
    Kevin , le 1 juillet 2011 à 14:59
  •  

    Tu dis : "L’intérêt de cette méthode c'est d'être anonyme aux yeux de votre FAI..." ??
    Comment est-ce possible ?? Tu dois avoir et tu as forcément une identité car ton FAI doit t'identifier et te connecter avec ton compte ! Tu dois appeller cet article: "surfez anonymement sur votre LAN".

    RépondreRépondre
    marc , le 2 juillet 2011 à 12:28
  •  

    @marc : "surfez anonymement sur votre LAN" epic win

    RépondreRépondre
    kika , le 2 juillet 2011 à 18:39
  •  

    @lap1.blanc
    merci pour certpatrol ! je cherchais cela depuis un bout de temps !

    pour moi c'est TOR, adblock, javascript désactivé, et DNS autre que FAI
    c'est déjà pas mal je trouve !

    et puis quand on veut pas que ca circule on passe pas d'autres moyens …

    AC

    RépondreRépondre
    depanange mac , le 3 juillet 2011 à 11:49
  •  

    merci bien pour cette sympatique option de curl
    ça va me permettre de faire des stats sur un download... et donc un plugin pour munin histoire de mesurer la qualité de connexion de ma freeteuse qui déconne à plein tube en ce moment :D

    RépondreRépondre
    Dju , le 4 juillet 2011 à 22:50
  •  

    @pti-seb : Hey, cool! Merci ;)

    RépondreRépondre
    Tixlegeek , le 5 juillet 2011 à 18:14
  •  

    @Kevin : "C'est aussi puissant qu'openvpn, mais beaucoup plus simple puisque basé sur du ssh standard."

    Ta méthode nécessite les droits root sur la machine locale _et_ distante. Elle est donc uniquement valable pour l'admin du serveur.

    RépondreRépondre
    st3rk , le 12 juillet 2011 à 11:07
  •  

    Ce n'est pas vraiment du surf anonyme. Juste un "déport" de l'adresse IP.
    Si le but est d'echapper a Hadopi pour par exemple, il faut bien se connecter a un serveur dont l'IP n'est pas francaise (cloud amazon par exemple).
    S'installer un serveur a domicile pour ca ne sert a rien : ce sera toujours son IP publique (celle fournie par le FAI qui apparaitra)
    Utiliser un serveur francais (OVH ou autre) ne permet pas non plus a priori de se proteger (Hadopi contacte OVH qui a obligation de fournir les infos clienteles)
    Utiliser un serveur de sa boite est tres dangereux si on tient a son job.

    Non, seule une techno comme TOR permet vraiment de se proteger puisqu'ip publique "finale" change constamment.

    RépondreRépondre
    ollinux , le 14 juillet 2011 à 14:54
  •  

    Bonjour,

    Je suis d'accord avec zkmat, Goda et bibitte :

    La connexion est chiffrée seulement entre le serveur ssh et le pc client, mais le trafic sortant du serveur lui est en clair. Donc en application cela donne :

    - avant tu te connectais avec ton pc sur internet et le site voyait l'ip de ta Box (NAT)
    - avec ton serveur SSH, si il est sur ton réseau local, le site voit toujours l'adresse l'ip de ta Box (toujours NAT). Si tu l'as loué sur internet, et bien avec l'adresse on peut très facilement remonter jusqu’à son locataire.

    Donc en bref, cette méthode protège juste de ta dangereuse copine qui un talent prononcé pour le hacking, de sniffer le trafic entre ton pc et la Box et de choper ton mot de passe meetic. mais bon si elle est maligne elle sniffera le flux sortant du serveur. (si elle est un peut blonde, elle pensera que ton serveur consulte tout seul des sites de fesses).

    Pour se protéger de l'admin réseau de sa boite c'est vrais que se ramener gentiment un beau matin avec son serveur SSH sous le bras et demander si on peut le connecter à la baie de brassage réseau c'est totalement anonymisant XD. dans le meme genre de raisonnement, si tu es le seul a utiliser le protocole SSH au sein de ton réseau d'entreprise ça fait louche non ?

    Bon si on arrête de rigoler, une méthode utilisée par les hackers pour anonymiser leurs connexions est de "chainer les serveurs proxy". Ainsi, en ajoutant à sa connexion des intermédiaire (proxy) un peu partout dans le monde on brouille les pistes (ip, localisation) et plus on utilise de proxy, plus on devient difficile à tracer (au détriment de la vitesse de connexion). c'est aussi comme ça que les services proposant de surfer anonymement fonctionnent (pour la plupart).

    RépondreRépondre
    Morgan , le 17 août 2011 à 10:14
  •  

    @lap1.blanc : Concernant le DNS, on peut aussi rediriger ces requêtes dans le tunnel.

    RépondreRépondre
    scuzzu , le 19 décembre 2011 à 00:48
  •  

    Bonjour, merci pour le tuto . C'est un peu long pour le créer le vpn. Il n'est pas préférable d'utiliser un service vpn (voir liste sur http://vpngratuit.fr ) directement ? les fournisseurs disposent d'infrastructures qui permettent d'avoir une sécurité assez importante et proposent plusieurs protocoles :openvpn,l2tp,SSH,PPTP etc. C'est sur que si vous êtes parano au niveau des logs, il peut y avoir des failles, mais sinon c'est rapide à mettre en place vu qu'il y a qu'un soft à installer...

    RépondreRépondre
    alex , le 16 mai 2012 à 11:06
  •  

    :) D'accord, mais on sous-estime souvent aussi les urls en HTTPS : apprenez à les utiliser pour crypter vos données, il existe un plugin pour le faire automatiquement (voir http://desgeeksetdeslettres.com/web/utiliser-le-https-pour-crypter-votre-connexion-internet )

    RépondreRépondre
    Des Geeks et des lettres , le 3 mars 2014 à 20:39
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum