Bueno, pues ahora tocaria ponerse a pensar un poco ..

Que vamos a hacer? Pues lo que comentamos en un principio. Conectarnos via un tunnel ssh a nuestro PC casero, en especifico a Privoxy, el cual usara Tor. Y como? Pues bien, en el PC del trabajo tendremos que hacer 2 cosas simplemente ( aunque ante todo, hemos de comprobar de que podemos hacer ssh hacia casa ):

1) configurar firefox para que use un proxy
127.0.0.1 con puerto 1050

2) setear el tunnel desde la linea de comandos ( Linux ) o con Putty ( Windoze ).

Yo explicare, en un principio, como hacerlo con Linux y la linea de comandos.

Pero direis... "y en el PC de casa con ssh, Tor y Privoxy corriendo.. que pasa con el firewall??? y el router??? Como dejan que entre la conexion desde el trabajo??!"
Pues bien, teneis razon pero en esto tambien se ha pensado.

En el router de la Red casera, tendreis que abrir el puerto 8118 hacia el PC casero con ssh, Tor y Privoxy corriendo.

Ahora direis.. "Pero como? Ahora todo el mundo podra usar mi Privoxy/Tor conectando a ese puerto??!"
Pues no, todo depende. Para ello deberias de tener el firewall bien configurado sin dejar entrar, en principio, conexiones dirigidas a esos puertos.
Como en esto tambien se ha pensado, he hecho algo para que no todo el mundo pueda conectar a esos puertos, y que solamente "cierta/s" persona/s puedan hacerlo.

Para ello he elaborado un programa en C para Linux ( estamos en Hacking Linux no?? ).
/* Nota: recordad que lo que estamos es ahora, configurando el acceso a los puertos desde el trabajo/exterior ) */

Bien, pues ocurre que, para que no todo el mundo conecte desde el exterior a nuestro Privoxy ( recordad que pusimos a Privoxy a correr en nuestra IP local, no de loopback ) y no tener que "harcodear" la ACL en iptables con l aIP de nuestro trabajo ( es una opcion, pero si algun dia no es desde el trabajo y nos coge en otro sitio, ya no podremos hacer el tunnel ), tendremos que conectar primero con netcat o telnet a un puerto en especifico.
Es decir, en el PC casero debera de estar corriendo ademas de lo citado anteriormente, este programa que he hecho. Este programa lo que hace es bindear a un puerto ( recomiendo uno > a 1024 y no reconocido ) que le pasamos como argumento ( el programa solo recibe este argumento, el puerto ).

Tras ello, automaticamente reconozco el puerto que has elegido y creo una regla para iptables para que TODO el mundo desde el exterior pueda conectar. Asimismo deberias de mapear este puerto en el router ed la Red casera hacia el PC casero para evitar fracasos. Por ello, es buena idea usar siempre el mismo puerto..

Y direis.. "Pero que dices! Ahora si que pueden conectar sin problema no?? Y para que es esto!!!?"
Bueno lo que ocurre es que tras setear esa primera regla de iptables ( la de que todo el mundo desde el exterior pueda conectar a ese puerto ), te pido una password ( a configurar en el code, por defecto es "pajaroloko" ).
Si desde el PC del trabajo ( en este caso ) introduces la password correcta ( pajaroloko ) creare unas reglas en iptables con la IP que esta conectando al PC casero ( IP del trabajo aca ) para que pueda conectar, ahora si, a los servicios de ssh y Privoxy. Asi, nos evitamos muchos problemas y entrometidos.

El code es este:

/* sock_passwd.c        by averno  */
/* code para complementar el tunnel con ssh hacia Privoxy */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <errno.h>

#define ERROR(prob) "{ fprintf(stderr, prob); exit(-1); }"

int main(int argc, char *argv[])
{

   struct sockaddr_in server;
   struct sockaddr_in client;

   FILE *fp;

   int on = 1;
   int sin_size, fd, fc, readbytes, rpm, fire;
   char buf[512], *passwd = "pajaroloko", buf2[512];

   if (argc != 2) {
     fprintf(stderr, "[=] Uso: %s <port_to_bind>\n\n", argv[0]);
     exit(-1);
   }
   
   memset(&buf, 0, sizeof(buf));

   if ((fp = fopen("/etc/issue", "r")) == NULL) {
     perror("fopen()");
     exit(-1);
   }

   while (fscanf(fp, "%s", buf) != EOF) {
        if ((strcmp(buf, "Fedora")) || (strcmp(buf, "Hat"))) {
          fprintf(stdout, "[=] Yeah! This Distro is a %s ..\n", buf);
          rpm = 1;
          break;
        }
        else {
            rpm = 0;
        }
   }

   fclose(fp);

 
   snprintf(buf, sizeof(buf), "/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport %i -j ACCEPT", atoi(argv[1]));


   if (!rpm) {
     if ((fire = system(buf)) == -1)
       ERROR("Error setting iptables rules");
   }

   else {
       if ((fire = system(buf)) == -1)
         ERROR("setting iptables rules");
       if (system("/sbin/service iptables save >/dev/null") == -1)
         ERROR("saving iptables rules");
   }

   bzero(&buf, sizeof(buf));

   if ((fd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
     perror("socket()");
     exit(-1);
   }

   if (setsockopt(fd, SOL_SOCKET, SO_REUSEADDR, (char *)&on, sizeof(on)) == -1) {
     perror("setsockopt()");
     exit(-1);
   }

   memset(&server, 0, sizeof(server));
   server.sin_family = AF_INET;
   server.sin_port = htons(atoi(argv[1]));
   server.sin_addr.s_addr = INADDR_ANY;

   if (bind(fd, (struct sockaddr *)&server, sizeof(struct sockaddr)) == -1) {
     perror("bind()");
     exit(-1);
   }

   if (listen(fd, 1) == -1) {
     perror("listen()");
     exit(-1);
   }

   sin_size = sizeof(struct sockaddr_in);

   while (1) {
        if ((fc = accept(fd, (struct sockaddr *)&client, &sin_size)) == -1) {
          perror("accept()");
          exit(-1);
        }

        setbuf(stdout, 0);
        fflush(stdout);
 
        printf("[=] New Connection from: %s:%i\n", inet_ntoa(client.sin_addr), ntohs(client.sin_port));

        if (fork() == 0) {
          close(fd);

          if (write(fc, "password: ", 10) == -1) {
            perror("write()");
            exit(-1);
          }

          if ((readbytes = read(fc, buf, 512-1)) != -1) {
               buf[readbytes] = '\0';

          if (strcmp(buf, passwd)) {
            if (write(fc, "[=] Ok!", 7) == -1) {
              perror("write()");
              exit(-1);
            }
            else {
                snprintf(buf2, sizeof(buf2), "/sbin/iptables -A INPUT -i eth0 -s %s -p tcp -m tcp -m multiport --dports 8118,22 -j ACCEPT", inet_ntoa(client.sin_addr));

                if (!rpm) {
                  if ((fire = system(buf2)) == -1)
                    ERROR("setting iptables rules");
                }
                else {
                    if ((fire = system(buf2)) == -1)
                      ERROR("setting iptables rules");
                    if (system("/sbin/service iptables save >/dev/null"))
                      ERROR("saving iptables rules");                       
                }         
            } 
          }

          } /* while(read) */
          close(fc);
          exit(0);
        }
        else {
            close(fc);
        }
   } /* Fin del loop while() */

   return 0;

}

/* EOF */


 /************ SIGO EN SIGUIENTE RESPUESTA ******************************************/

tio..

 

que gran manual

muy buen manual, pero no entiendo una cosa:

no veo la utilidad del programita que hiciste en C ni de conectarte con netcat al puerto que dejaste corriendo...

en mi opinión creo que deberías poner la regla de iptables para que acepte conexiones al puerto ssh siempre, ya que este filtrará al usuario legítimo del que no lo es, eso si, deberíamos configurar sshd correctamente, es decir, que no acepte por defecto conexiones de root, que la versión sea la 2 y no acepte la 1, etc...
y crear una cuenta en la máquina de casa sólo para esto, es decir, no usar la cuenta de root para cosas que no lo requieren

una vez con esto, bastaría con conectarnos mediante:

# ssh -fN -L 1050:localhost:8118 proxy@142.54.43.32

un saludo!

ok ok, es que yo soy muy vago y planteé esa forma por no tener que andar codeando el código :p

en parte el hacer el código es una medida de seguridad más, pero como te digo, como antes de romper el programa que hiciste, deberían romper sshd, cosa que siend oconfigurada debidamente como comenté antes y añadiendo ciertas medidas de seguridad con ayuda de iptables como por ej detectar y bannear los intentos de fuerza bruta creo que hay suficiente, pero bueno, ya que has sido tú el que te has "chupado" el codear el código pues nunka viene mal una medida más, saludos!!!

p.d: el tutorial está muy bien

si, si entiendo que el programita es para "asegurar" la conexión a privoxy, pero dado que con iptables puedes hacer que desde fuera solo se fuera acceder al puerto del sshd, todas las conexiones tendrán que pasar este filtro,y teniéndolo bien configurado como comenté antes, no sería necesario autenticarse contra el privoxy, ya que esto solo podrán hacerlo los que lo hayan hecho previamente contra  el sshd

Que tal.

Bueno, ya dentro de poco me tengo que ir a mi nuevo curro! ( pinche de cocina ).

Por ello solo decir una cosas:

primero Gracias a kamsky por una participacion tan activa.

Despues pues solo decir que el cometido era hacer un tuto algo especial. Para mi, la automatizacion es muy necesaria en un tuto como estos dado que habra personas que ni sabran imponer reglas en iptables adecuadamente.

Ademas, lo de "especial" es por eso mismo, por la automatizacion y por lo del programa.
Ah, y que el programa no dure mas de 20 minutos en hacerlo comiendo galletas de chocolate!
Me molan el Networking y me divierto programando sockets, y un par de sockets.. se programan en un momento!

Asi pues, en menos de una hora parto asi que... Gracias.


Saludos.

Que tal.

Ya voy tarde..

Bueno, lo ultimo por ahora:

yo lo probe como dijistes con mi Red local y, sorprendentemente, el tunnel no conectaba con Privoxy de manera local.
Hasta que no puse Privoxy en la ifaz eth0 ( 192.168.1.64, no de loopbacK ) el tunnel no era fructuoso.

Por como dices, yo pense algo similar y pense que, una vez establicodo el tunnel, todo era local. Mi sorpresa fue que se utilizaba la ifaz de red y ademas tenian que haber reglas de filtrado. No indague mucho ya que el tuto lo hice ayer tarde.

De todos modos suena muy logico.
Que la gente siga tus pautas en ese sentido, o las mias :____).