ssh-туннель безопасен или нет?


Только что наткнулся на странное.
Существует титбит – сайт-файлопомойка, заблокированный ркпозором.
В наличии: поднят ssh на сервере, от клиента до сервера поднят ssh-туннель (на putty), поверх которого работает socks-прокси

Непосредственно с сервера этот титбит успешно открывается.
С клиента при работе через вышеупомянутый прокси обращения к титбиту редиректятся на страницу уведомления о блокировке.

И да, обращение к сайтам действительно идет через прокси, myip.com не даст соврать.

Как такое возможно без взлома ssh-туннеля между клиентом и сервером?


Комментарии
— SATtva (02/02/2020 10:34)   
Если DNS резолвится локально, провайдер отдаёт адрес страницы-заглушки. Это один из обычных методов блокировки.

Либо включите резолвинг через прокси (поддерживается в SOCKS5), либо в настройках интернет-подключения настройте в качестве DNS 8.8.8.8 или 1.1.1.1. Если провайдер до кучи перехватывает все DNS-запросы, включите в Firefox DoH-TLS, чтобы шифровать их.
— thesis (02/02/2020 23:38)   
Странно.
При работе через прокси резолвить адреса должен сам прокси, клиент передаёт на проксю полный адрес.
За точность сказанного зубом не поклянусь, но как-то было это самоочевидно.
Впрочем, это легко будет прверить.
Не знаю как заставить браузер использовать socks для резолва, но могу добавить нужный IP в местный hosts эксперимента ради.

Кстати, да, провайдер перехватывает и патчит DNS-запросы.
В этом случае я сразу попадаю на страницу блокировки.
В случае же, описанном выше, на блокирвку я попадаю по редиректу №302
— SATtva (03/02/2020 18:07)   

Зависит от версии SOCKS. Версия 4 резолвит только локально (на клиенте).

Чудес не бывает. Если попадаете на заглушку, значит, что-то утикает мимо SSH-туннеля (перехват завёрнутого трафика исключён).