Before to begin any technical part, I will try to explain the operation of Port Forwarding and why implement it.

To understand this concept, I refresh your memories on the communication of computer:

To exchange informations, computers need an IP address and a port number. The port number is important because it’s thanks to it that the communication exists. Client and server have to communicate on the same port number.

Now, we decrypt the Port Forwarding. The Port Forwarding consist of redirect informations sent on a port number of a computer to a different port number on another computer.

A picture to better understand this redirection:

In this example, the number port 6000 of client will be encapsulated on port 22. When the request arrives on the server on the port 22, it will be decapsulated et sent on 80.

To simplify, the Port Forwarding swap the port number of communication.

Why implement it

We can ask the question of why implement it. Port forwarding with SSH is used when you want secure an communication between two computers.

Maybe you have a firewall in your company which allows only the port number 22 and you want to access the internal FTP server. Or a filter on your HTTP requests (Websense, SurfControl) and you want bypass it. Bu avoid this control remains under your responsibility.

How informations communicate , with and without Port Forwarding?

Explication:

The Blue path (1) is the communication in a normal situation. When you request a web page, your request is filtered by the firewall and redirected to Internet. If the website is in the blacklist, then access will be denied.

The Red path (2) is the communication with Port Forwarding.Your internet request is encapsulated in a secure tunnel and sent to your remote server.

When you encrypt your transaction between your PC and the server, it means that the firewall can’t inspect your request.

Once the remote server has received your request, it will go for you on internet and download the web page. Everything in a secure connection.

Result: Secure exchange between two hosts, unable to inspect the content.

How implement it

I used for this article a Debian distribution, but this solution works also on Mandriva.

We need :

- A Linux server

- A client on Microsoft Windows

-  Putty

The server configuration is divided into 4 steps.

1. OpenSSH Installation.
2. Certificates for SSH.
3. Configuration of file SSH.
4. User creation.

And for client configuration into 2 steps.

1. Configuration of Putty.
2. Configuration of your browser.

Server Configuration

OpenSSH Installation

Port Forwarding is based on the SSH protocol. So the first step is to install OpenSSH.

apt-get install openssh-server

Note: Don’t forget to update your sources with:

apt-get update

Generating certificates for SSH

Once you have installed the service SSH, you must have certificates to validate the connection.

A certificate contains a private key and public key which allow you to encrypt your communications.

During the installation, it is possible that generation of certificates were done automatically. For more security, we are going to recreate them.

To create certificates:

ssh-keygen -t dsa -b 1024

ssh-keygen -t rsa -b 1024

The system asks you to specify the path et name for your certificates. I advise you to put them in /etc/ssh

Configuration of file SSH

The next step is the modification of  configuration file of SSH to accepts tunnels and modify certificate’s paths.

You linux server can also connect to another remote server in SSH. It will be client.

This is why there are two configurations for SSH files: a file named ssh_config for the client connection and a sshd_config file which allows us to configure our SSH server.

We modify the file sshd_config

vi /etc/ssh/sshd_config

In first time, we specify new certificate’s path.

To do this, modify lines which contain HostKey:

# HostKeys for protocol version 2
HostKey /etc/ssh/certifLaboIT
HostKey /etc/ssh/certifLaboITdsa

To allow SSH tunneling,  add this command at the end of the file:

#Permit Tunnel
PermitTunnel yes

It is possible to change the listening port of the server. In case of the port number 22 is blocked by your firewall.

#What ports, IPs and protocols we listen
Port 22

Quit Vim editor and don’t forget to save your modifications.

SSH configuration is now complete.

We need to restart the service with command:

/etc/init.d/ssh restart

User creation

To avoid login with root account, we create a new user:

useradd LaboIT

passwd LaboIT

Server configuration is now complete.

Client Configuration

It is important to understand what we are going to do.

All client requests will be encapsulated in a tunnel by Putty dynamically to use the red path (2).

Configuration of Putty

You can download Putty at this address: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

The configuration of the PuTTY executable will be in 2 steps:

1. Information of the server’s IP address and its listening port.
2. Creation on the client of a new dynamic port.

For the first step, we will fill in the connection information:

Specify the IP address or FQDN of the server in the red box. And then in the yellow box specify the port is in your configuration sshd_config file

Second step, creation of new port:

To create a dynamic, port verify that the dynamic option is selected and then in the field source port enter 9999. Once this done, click Add to add to the ports forwarded.

To open the connection to the remote server, click Open.

Configuration of your browser.

You must specify your favorite browser where it should exit. Indeed, it should not use the blue path (1) but the Red (2).

For the connection host address specify 127.0.0.1, which is your PC. And in port, you must specify 9999, that was informed earlier.

You just have to accept the changes and go to your favorite pages.

Remember that if your company has set up a filter is for a good reason. So do not overuse. You are solely responsible for your actions.

Avant de commencer toute partie technique, je vais essayer de vous expliquer le fonctionnement du Port Forwarding et pourquoi le mettre en place.

Pour bien comprendre cette notion, un petit rappel sur le mode de communication entre les ordinateurs est peut être nécessaire:

Afin de s’échanger des informations, les ordinateurs ont besoin d’une adresse IP ainsi que d’un numéro de port.  Le numéro de port est très important car c’est grâce à lui que la communication va pouvoir se faire. Le client et le serveur doivent communiquer sur le même numéro de port pour s’entendre.

Prenons  un exemple de la vie quotidienne : si vous décidez de rendre visite à une personne dans un immeuble, vous avez son adresse postale (Adresse IP) et son numéro d’appartement (Port). Si vous vous trompez de numéro d’appartement, la communication ne pourra pas se faire.

Déchiffrons maintenant le terme de Port Forwarding ou Redirection de Port en français. Le Port Forwarding consiste à rediriger les informations envoyées sur un port  d’un ordinateur vers un port différent de l’ordinateur distant.

Une image pour mieux comprendre cette redirection :

Dans cet exemple, le port 6000 du client sera encapsulé sur le port 22. Lorsque la requête arrivera sur le serveur via le port 22, elle sera décapsulée et envoyées sur le port 80.

Pour simplifier, le port Forwarding consiste à échanger le port de communication via un autre port.

Pourquoi le mettre en place

On peut se poser la question de pourquoi le mettre en place. Le Port Forwading avec SSH est utile lorsque vous voulez une sécuriser communication entre deux ordinateurs.

Vous avez peut être dans votre entreprise un pare-feu qui n’autorise que le port 22 et vous devez accédez au serveur FTP interne de la société. Ou  tout simplement un filtrage de vos requêtes HTTP (Websense, SurfControl) et vous voulez le contourner, mais esquiver ce contrôle reste sous votre entière responsabilité.

Comment communiquent les informations, avec et sans Port Forwarding ?

Explication,

Le chemin bleu (1) est la communication en temps normal. Lorsque vous demandez une page, votre requête est filtrée par le pare-feu puis redirigé vers internet. Si le site est dans la blacklist, alors l’accès vous sera refusé.

Le chemin rouge (2) est la communication par la redirection de port. Votre demande internet est encapsulée dans un tunnel  complètement sécurisé puis est envoyée sur votre serveur distant.

Le fait de chiffrer la transaction entre votre pc et le serveur signifie que le firewall ne pourra pas filtrer votre demande.

Une fois que le serveur distant a reçu votre requête,  il va aller à votre place chercher sur internet la page web et vous la renvoyer en connexion sécurisée.

Résultat es échanges sécurisés entre les deux hôtes, impossible de lire le contenu.

Comment mettre en place

J’ai utilisé pour rédiger cet article une distribution Debian, mais cette solution a également été testée sous une distribution Mandriva.

Voici les équipements nécessaires :

- Un serveur Linux

- Un client sous Microsoft Windows

- L’utilitaire Putty

La configuration du serveur se décompose en 4 étapes :

1. Installation d’OpenSSH
2. Génération des certificats pour SSH
3. Configuration du fichier
4. Création d’un utilisateur

Et la configuration du client en 2 étapes.

1. Configuration de l’utilitaire Putty
2. Configuration du navigateur Internet

Configuration du serveur

Installation d’OpenSSH

La redirection de port étant basée sur le protocole SSH, la première chose à faire est d’installer l’utilitaire Openssh.

apt-get install openssh-server

Note : N’oubliez pas mettre à jour vos dépôts avec la commande :

apt-get update

Génération des certificats pour SSH

Une fois le service installé, il est nécessaire d’avoir des certificats pour la connexion soit valide.

Un certificat contient une clef privée et une clef publique qui vont vous permettre de chiffrer vos communications.

Lors de l’installation, il est possible que la génération des certificats se soient fait automatiquement. Mais pour plus de sécurité nous allons en recréer.

Nous allons générer deux types de certificats, un DSA et un RSA, qui sont deux algorithmes de chiffrement. Ils seront générés grâce à l’utilitaire ssh-keygen.

Pour créer les certificats :

ssh-keygen -t dsa -b 1024

ssh-keygen -t rsa -b 1024

Le système vous demande ensuite de préciser le chemin et le nom pour les certificats. Je vous conseille de les mettre dans /etc/ssh

Configuration du fichier SSH

Maintenant que le service est installé et que les certificats sont créés, il faut modifier le fichier de configuration de ssh pour accepter les tunnels et modifier le chemin des certificats.

Il ne faut pas oublier que notre serveur peut également se connecter sur une machine distante en SSH. Il sera donc client à son tour.

C’est pour cela qu’il existe deux fichiers de configurations pour SSH : un fichier nommé ssh_config pour la connexion cliente et un fichier sshd_config qui va nous permettre de configurer notre serveur SSH.

Nous modifions donc le fichier sshd_config

vi /etc/ssh/sshd_config

Dans un premier temps, nous allons spécifier les nouveaux certificats que nous venons de créer.

Pour cela modifier les lignes qui contiennent HostKey en précisant vos certificats.

# HostKeys for protocol version 2
HostKey /etc/ssh/certifLaboIT
HostKey /etc/ssh/certifLaboITdsa

Pour autoriser SSH à faire du Tunneling, rajouter cette commande à la fin du fichier :

#Permit Tunnel
PermitTunnel yes

Il est également possible de changer le port d’écoute du serveur. Au cas où le port 22 serait bloqué par un pare-feu.

Il faut pour cela modifier la ligne contenant le mot :

#What ports, IPs and protocols we listen
Port 22

Quittez l’éditeur Vim en n’oubliant pas de sauvegarder vos modifications.

La configuration de SSH est désormais terminée.

Il ne reste plus qu’à redémarrer le service avec  la commande:

/etc/init.d/ssh restart

Création d’un utilisateur

Pour éviter de se connecter avec le compte root sur le serveur, nous allons créer un autre utilisateur.

useradd LaboIT

passwd LaboIT

La configuration du serveur est désormais terminée. Nous pouvons maintenant passer à celle du client.

Configuration du Client

Il faut bien comprendre ce que nous allons faire par la suite.

Dans un premier temps, nous allons configurer Putty pour qu’il écoute sur un port non utilisé (par exemple le 9999) puis nous allons ouvrir une connexion SSH vers le serveur. Cela va créer le port Forwarding.

Dans un second temps, nous spécifierons à notre navigateur web d’envoyer toutes nos requêtes vers ce nouveau port.

Toutes les requêtes du client seront donc encapsulées dans un tunnel par Putty dynamiquement pour passer par le chemin rouge (2) vu plus haut.

Configuration de l’utilitaire Putty

Vous pouvez télécharger Putty à cette adresse : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

La configuration de l’exécutable Putty se fera en 2 étapes :

1. Renseignement de l’adresse IP du serveur et de son port d’écoute.
2. Création sur le client d’un nouveau port dynamique.

Pour la première étape, nous allons renseigner les informations de connexion :

Spécifiez dans la case rouge l’adresse IP ou le FQDN du serveur. Puis dans la case jaune, indiquez le port qui se trouve dans votre fichier de configuration sshd_config

Deuxième étape, Création du nouveau port :

Pour créer un port dynamique, vérifiez que l’option Dynamic soit sélectionnée puis dans le champ Source port indiquez 9999. Une fois ceci fait, cliquez sur Add pour l’ajouter dans les Forwarded Ports.

Pour ouvrir la connexion au serveur distant,  cliquez sur le bouton Open.

Bien sur, vous devez spécifier un couple utilisateur/password valide lors de la connexion au serveur.

Configuration du navigateur Internet

Voici la dernière étape, qui de plus, est la plus facile.

Vous devez indiquer à votre navigateur web préféré par où il doit sortir. En effet, il ne doit plus utiliser  le chemin bleu (1) mais le rouge (2).

Il faut que l’on change l’adresse de Hote SOCKS. Cette information est généralement dans les paramètres de connexion.

Pour l’adresse de connexion hôte, spécifiez 127.0.0.1, c’est votre PC. Et en port, vous devez indiquez 9999, celui qu’on a renseigné plus haut.

Vous n’avez plus qu’à valider les changements et de vous rendre sur vos sites favoris.

N’oubliez pas que si votre entreprise a mis en place un filtrage, c’est pour une bonne raison. Donc n’en abusez pas. Vous êtes le seul responsable de vos actes