Blog de Luc-Blanc.com

Imaginons le scénario suivant: Vous êtes derrière un firewall et vous voulez permettre à un utilisateur externe de prendre le contrôle ou de visualiser votre écran avec VNC. Malheureusement, vous n’avez pas accès à ce firewall, et vous ne pouvez donc pas forwarder un port vers le port 5900 de votre machine.

Heureusement, vous possédez un compte sur un serveur se trouvant sur Internet. Vous pouvez utiliser ce serveur comme serveur relais en créant un tunnel inversé grâce à ssh de la façon suivante:

ssh -R 1234:localhost:5900 utilisateur@serveur.sur.le.net

Ainsi, les personnes se connectant au port 1234 du serveur.sur.le.net seront redirigées vers le port 5900 de votre machine. Cette astuce ne fonctionne que si l’option GatewayPorts est activée sur le serveur SSH du serveur.sur.le.net. Cette option autorise le serveur SSH à ouvrir le port 1234 sur toutes les interfaces du système. Si cette option n’est pas activée, utiliser le paramètre -g ou spécifier une interface dans la commande (ssh -g -R 123.234.123.234:1234:localhost:5900 utilisateur@serveur.sur.le.net) ne servira à rien car l’option -g ne fonctionne que pour les tunnels établis avec l’option -L.

Pour résoudre ce problème, il est possible d’établir un second tunnel passant par le premier tunnel:

Lancer cette commande sur le poste local:

ssh -R 1235:localhost:22 utilisateur@serveur.sur.le.net

Puis lancer cette commande sur serveur.sur.le.net:

ssh -g -L 1234:localhost:5900 utilisateur@localhost -p 1235

Ainsi, un second tunnel passant par le premier tunnel permet de rediriger le port 1234 sur le serveur public vers le port 5900 du poste local. Afin d’éviter d’encrypter les communications deux fois, le deuxième tunnel peut être établi avec l’option -c none pour désactiver l’encryption:

poste_local $ ssh -R 1235:localhost:22 utilisateur@serveur.sur.le.net

utilisateur@serveur.sur.le.net $ ssh -c none -g -L 1234:localhost:5900 utilisateur@localhost -p 1235

La technologie utilisée par FT vLockstep nécessite les extensions processeur physique ajouté à tout derniers processeurs d’Intel et AMD. Afin d’exécuter FT, un hôte doit disposer d’un FT-processeur capable, et les deux hôtes exécutant une paire FT VM doit être dans la famille même processeur. Le tableau suivant montre quels processeurs sont compatibles avec FT et peut être utilisé dans un couple VM FT. Si un cluster FT mélanges types de processeurs multiples, elles doivent être capables de travailler ensemble, comme indiqué par un cercle vert O où ces deux types de processeurs se croisent dans le tableau.

 

 

 

Si comme moi, vous êtes amené à utiliser sur votre lieu de travail une machine sous Windows (je suis sûr qu’il en reste ), vous êtes peut-être intéressé par la possibilité d’accéder à votre machine Ubuntu par internet.
Il existe VNC mais je trouve cette solution un peu gourmande en bande passante… c’est pourquoi je vous propose d’essayer Xming, un serveur graphique X pour Windows sous licence GNU/GPL. Uniquement des ordres de dessins et non des copies d’écran sont transférés.

Explications détaillées :

Xming peut être utilisé de plusieurs manières :

• en mode XDMCP pour accéder à l’écran de login de votre machine Ubuntu
• en mode SSH pour lancer directement les applications graphiques souhaitées sans afficher tout le bureau

Pour des raisons de sécurité, j’ai choisi la deuxième méthode qui permet un accès plus sécurisé.

Installation sur la machine Ubuntu

Installation du serveur sshd

Pour ne pas répéter ce qui est écrit sur le wiki d’ubuntu-fr, je vous invite à visiter la page consacrée à sshd

Après installation, vérifier les points suivants dans le fichier de configuration /etc/ssh/sshd_config :

sudo gedit /etc/ssh/sshd_config

# Changer le port par défaut si vous souhaitez éviter

#des attaques ssh : 9922 par exemple à la place du port 22 

# dans mon cas, c'est mon routeur qui ouvrira un autre port

#sur internet et le redirigera sur le port 22 

Port 22 

# interdire l'accès root 

PermitRootLogin no 

# N'autoriser que les utilisateurs nécéssaires 

AllowUsers votrelogin 

# Permission du forward X11 

#(c'est peut-être la valeur par défaut, je ne sais plus) 

X11Forwarding yes 

X11DisplayOffset 10

Redémarrage du serveur sshd : sudo /etc/init.d/ssh restart

Permission de l’accès dans le fichier hosts.allow

sudo gedit /etc/hosts.allow

sshd : ALL sshdfwd-X11 : ALL

Préparation d’une archive des polices du serveur pour la machine Windows

Afin d’éviter le transfert des polices pendant l’utilisation, et surtout d’éviter l’installation d’un serveur de font (comme xfs) difficilement routable par un tunnel ssh, je préconise la copie directe depuis le serveur Ubuntu vers la machine Windows des polices.

Dans nautilus, faire un clic droit sur le dossier /usr/share/X11/fonts et choisissez la commande Créer une archive…

Préferez un format zip, plus simple à utiliser sur la machine Windows.

Copiez ce fichier sur votre machine Windows.

Installation sur la machine Windows

Installation de Putty

Téléchargez Putty.exe. Copiez le dans un dossier de votre machine Windows

Installation de Xming

Télécharger Xming Installer ou Xming Mesa Installer si votre carte graphique n’est pas compatible OpenGL.

Leo nous précise dans les commentaires que Putty ne marche qu’avec une version de XMing antérieure à 6.9.0.23

Lancez l’installation : on n’utilisera que l’icône Xming

Dézipper le fichier fonts.zip dans le répertoire d’installation ( par défaut C:\Program Files\Xming\ )

Exécution

Lancer XMing (et non pas XLaunch), une icône X apparaît près de l’horloge.

Lancer Putty et faites les réglages suivants :

• Session
  • Host : le nom de votre machine vu depuis internet (Je vous invite à visiterla page sur les dns dynamiques )
  • Port : 9922 (si c’est celui que vous avez retenu)
  • SSH
• Terminal / Keyboard
  • Function keys : Linux
• Window / Translation
  • Received data… : UTF-8
• Connection / SSH / X11
  • (X) Enable X11 forwarding

Revenez à "Session" et sauvegardez votre configuration. Cliquez sur Open

Là, normalement, Putty vous demande votre login et votre mot de passe.

Une fois connecté, vous pouvez lancer vos applications Linux à distance sur votre poste Windows grâce au terminal Putty.

$ xclock & $ evolution & $ mozilla-thunderbird & $ liferea &

Attention, certaines applications ne supporte pas d’être lancer en même temps sur le poste Ubuntu et une machine distante avec le même login. Il est donc conseillé, si vous souhaitez utiliser cette méthode de connexion à distance, de laisser votre machine Ubuntu à l’écran de login (ou de vous connecter avec une autre login).

 

Si vous voulez participer au maintient de ce site :

Bienvenue dans mon nouveau blog.