ファイヤーウォールの越え方

概要

普通に学生生活をしていると、外部のCVSレポジトリにアクセスしなければならないなど、一時的に内部から外部に対してファイヤーウォールを越えていろいろやる必要が出てくる。
その際に、簡単にできる方法を記述してみた。
なお、今回想定している範囲は内部から外部に対してTCPコネクションを張る方法です。

OpenSSH over firewall

取り合えずは一番良く使うであろうSSHで越える方法。
最初にOpenSSHがインストールされてること前提としています
UN*Xを使ってる人なら最近はデフォルトで入っているでしょう。 M$のWindowsを使ってる人はwww.cygwin.comに行ってCygwinをインストールするときのオプションで、OpenSSHをインストールするようにするほうが楽かもしれません。

• connect.cをとってくる
  

   * Getting Source
   * ==============
   *
   *   Recent version of 'connect.c' is available from
   *     http://www.imasy.or.jp/~gotoh/ssh/connect.c
   *
   *   Pre-compiled biniary for Win32 is also available:
   *     http://www.imasy.or.jp/~gotoh/ssh/connect.exe.gz
   *
  

  だそうです（connect.cのソースより抜粋)
  感謝しつつダウンロードしましょう。
• コンパイルする、もしくはプリコンパイル済みってのもあるらしい
  gcc -o connect connect.c
• テストしてみる
  HTTPSが使える（多分殆どのHTTPプロクシはOK)HTTPプロクシを使う場合は。
  ./connect -H プロクシサーバのアドレス:プロクシサーバのポート www.titech.ac.jp 80
  Socksサーバを使う場合は。
  ./connect -S SOCKSのアドレス:SOCKSのポート www.titech.ac.jp 80
  と打って何も表示されない画面(unixの場合は表示される)に向かって
  GET /
  と打ちさらにエンターを2回ほど打ってなにやらHTMLのような気がするような分が表示されればOKです。 ちっちゃいツールですけど非常に便利ですね
  
• sshの設定
  ~/.ssh/configに下記のような記述をします(ディレクトリがなかったら作ってください
  

  #すべてのホストに設定する場合↓
  Host *
  ProxyCommand ~/bin/connect -H proxy.ssr:3128 %h %p
  Compression yes
  CompressionLevel 9
  
  #特定のホストだけファイヤーウォール越えをする場合
  Host hoge
  HostName hoge.moge.jp
  ProxyCommand ~/bin/bin/connect -H proxy.ssr:3128 %h %p
  Compression yes
  CompressionLevel 9
  

  ProxyCommandで先ほどコンパイルしたconnectコマンドを指定します。後の引数のうちproxy.ssr:3128の部分は実験で使用したものを、%h%pはsshによってホスト名、ポート番号に置換されますのでそのままにしておいてください
  ちなみに上記のように特定のホストに限定した場合。
  ssh hoge.moge.jpと打つのではなくssh hogeと打ってください。
  

取り合えず外部のメールを読みたい(任意のTCP接続)

この技はメールだけじゃなくて、自分からTCPコネクションを張りたい場合全てに使えます
また、中継ホストと自分のパソコンの間は暗号化されるので同じ部署にストーカーがいても安心してメールを受信できます（笑）
ほかにも、データを圧縮して転送できるので、少しだけメールを読む速度があがるかもしれません。

• 上記のSSHの説明のとおりファイヤーウォールを超える準備をしてください
• http://www.xrea.com/のようにSSHが使える無料サービスなどでアカウント作成します
  (私は学校からはるか数百キロ離れた実家に置いてきたサーバを使ってます(^^;)
  
• とりあえずつながることを確認します
  例えば、SSHのサーバがhost.hoge.comでユーザ名がmogeならば
  ssh moge@host.hoge.com
  ですね。
• 転送をしてみる YahooのPOP3メールを読みたい場合は
  ssh -L 110:pop.yahoo.co.jp:110 moge@host.hoge.com
  で転送できますので、試してみましょう。
  メーラーの設定はpopサーバをlocalhostと指定してください。
  なお、システムによっては一般ユーザには1000番以下のポートを使わせないようになっているので、-L 110:pop〜〜の110のところを1000以上にする必要がある場合があります。その場合は、もちろんメーラのpopの設定でポートを変更する必要が有ります。
• もっと便利にする
  このままだとメール見るためにシェルにログインしててやな感じだし、相手によってはシェルから何も打たないと勝手に接続をきられてしまいます
  そこでこのようなスクリプトはいかがでしょうか?
  ただし相手がbashとかshとかのsh系シェルであることを前提としてるのでcsh信者は適当に書き換えてください
  

  #!/bin/sh
  ssh \
  -L 2110:pop.mail.yahoo.co.jp:110 \
  -L 3993:192.168.1.99:993 \
  -L 3022:192.168.1.99:22 \
  -L 3021:192.168.1.100:21 \
  nol "a=0;while(true) do echo connect\$a ; a=\`expr \$a + 1\`;sleep 60;done"
  

• もっともっと便利にする
  -Lの前にスペースを空けて-gと打つとそのポートは外部のマシンからもアクセスできます。
  つまり、隣のUNIXマシンでssh接続してwindowsマシンからその接続を利用することができます。
• もっともっともっと便利にする
  ssh-agentを使ってパスワードを打たないでいいようにして、さらに先ほどのスクリプトをwhileでまわせば何らかの原因で接続が切断されても自動で復旧します
• 番外編
  ssh の-Rオプションを使えば、研究室内のマシンにwebサーバたてて外部から来てもらうなんて荒業もできますがお勧めしません

tcpserverを使う

DJBさんのtoolであるtcpserver(http://www.emaillab.org/djb/tools/ucspi-tcp/top.html)を使うと、UNIXマシンでファイヤーウォールを越えて、みんなでその接続を使うということが１行でできます。

ほかにも