Hige disse:
Shadex, desculpa la. será q podes trocar por miudos q n percebem puto de informatica a esse nivel, como fazer isso do ssh tunelling? tipo eu tenho um router com coyote linux.
É simples. Tens de ter uma box com OpenSSH ou outro SSH server. Não importa se é o router ou uma máquina na LAN interna. Se for o router, tens apenas de abrir o port onde estiver o SSH server a funcionar (por norma o 22, mas aconselho sinceramente a mudar na configuração para outro port qqr, algo tipo 45987, ou outra coisa qqr que não esteja ocupada). Se for uma máquina da LAN, tens de meter o router a encaminhar o trafego desse port para ela.
Ok, temos a parte do SSH Server tratada. Ou nem por isso. Por defeito o OpenSSH e outros aceitam plaintext auth, e tu
não queres isso! Tens de mudar na conf para ele aceitar unica e exclusivamente logins com keys. Ao fazer isso, garantes (bugs aparte) que do lado de fora ou têm a key ou nada feito. Alem de precisarem da password da mesma... Obviamente, ocasionalmente podes ter a desgraça de deixar a key em casa e... não tens acesso
Ok, atm tens um SSH server a escutar no port x e que só aceita logins com keys. Assumindo que não andas a fazer isso de PC remotos "pouco seguros" tens um modo muito seguro de fazer login remotamente a essa box. Uma vez mais bugs aparte, se tiveres uma key de tamanho decente e uma passowrd decente nela, ainda o mundo vai estar para acabar antes de a "partirem"...
Quanto aos tunéis. Depois de estabelecido o login, SSH permite fazer diversos tipos de tunelling. O mais comum é meteres o PC onde estás fora da tua rede a escutar num port y qqr e a encaminhar tudo o que para ai for para uma máquina x dentro da tua rede. Quando ligas um client a esse port, o trafego é encaminhado via ssh tunnel para a box onde corre o ssh server e desta para a box de destino onde determinaste que era suposto ir ter.
No caso de VNC, um cenário comum seria meteres o port 5901 a escutar e redireccionar para o port 5900 da máquina y da tua lan. Quando ligasses o client NVC ao localhost:5901 ele "viajava automágicamene" via tunel para o port 5900 da máquina y.
Um factor a ter em conta, é que a box de destino
não vê o acesso a vir de fora. Tanto quanto ela sabe, é a box onde está o ssh server que está a fazer o acesso.
Quanto a VPN, sim, sem duvida que providencia mais funcionalidade, se bem que não tenho tanta firmeza quanto á segurança. E tem outro problema. É relativamente mais dificil de configurar e pôr a trabalhar. Ao contrário de um OpenSSH que fica conf e pronto a usar em minutos (alguns minutos se for compilado from source...). Para usos limitados, complicar é o caminho errado...