SSH Tunneling + SSH port forwarding + multiple hops ALL-IN-ONE (ITALIANO, ENGLISH)

*** ITALIANO *** (ENGLISH BELOW)

Se abbiamo la gestione di una macchina linux remota in LAN1, a cui accediamo via SSH, potremmo aver necessità di connetterci ad una rete LAN2 collegata ad essa es. in VPN. In sostanza quella macchina ci serve da proxy per l'accesso a LAN2 e la strada più semplice è settare il port forwarding via SSH, quindi otteniamo un tunnel criptato con SSL. I più maliziosi hanno già pensato di sfruttarla come proxy di navigazione anonima o come testa di ponte, ma le considerazioni sulla sicurezza sono oltre lo scopo di questo post. A noi serve avere i controllo di entrambe le macchine raggiunte su LAN1 e LAN2, oltre ovviamente alla macchina su cui stiamo lavorando.

Tento di rappresentare uno schema tipico:

mia macchina locale IP 192.168.0.123

host1 su LAN1
IP pubblico 123.123.123.123
IP privato 192.168.1.123

host2 su LAN2, raggiungibile da host1 via VPN o altro poco importa
IP privato 10.10.10.123

la richiesta da es. browser che vogliamo ottenere è una risposta a http://10.10.10.123:34567

I tunnel saranno 2:
tun1 = dalla macchina locale a host1 su una porta arbitraria
tun2 = da host2 a host1 sulla porta da raggiungere

se volessi avere altri hop, il meccanismo è lo stesso, es. con 4 hops:
tun1 = dalla macchina locale a host1 su una porta arbitraria
tun2 = da host2 a host1 su una porta arbitraria
tun3 = da host3 a host2 su una porta arbitraria
tun4 = da host4 a host3 su una porta arbitraria
tun5 = da host5 a host4 sulla porta da raggiungere

L'opzione -L del comando ssh serve a specificare che segue un binding tra 2 porte.
La porta di sinistra è quella più vicina a noi (macchina locale o hop successivo).
Quella di destra è quella remota, per cui immaginiamo uno schema tipo:
NOI --> portalocale:host1:porta1 --> porta1:host2:porta2  --> porta2:host3:porta3 etc fino all'ultimo host e all'ultima porta.

Tornando ai 2 tunnel:

dalla macchina locale verso host1
ssh -L 9999:localhost:9999 root@host1

da host1 verso host2
ssh -L 34567:localhost:9999 root@host2

Con l'esempio dei 5 tunnel:

ssh -L 9999:localhost:9999 root@host1
ssh -L 9999:localhost:9999 root@host2
ssh -L 9999:localhost:9999 root@host3
ssh -L 9999:localhost:9999 root@host4
ssh -L 34567:localhost:9999 root@host5

Ora basta puntare il browser così:
http://localhost:34567

Se vogliamo concatenare i comandi in modo da inviarli via SSH in un'unica riga:
ssh -v -L 9999:localhost:9999 root@host1 -t ssh -v -L 9999:localhost:9999 root@host2 -t ssh -v -L 9999:localhost:8080 root@host3 -t ssh -v -L 9999:localhost:8080 root@host4 -t ssh -v -L 34567:localhost:8080 root@host5

************************************************************************
*** ENGLISH ***

If we manage a linux remote machine inside LAN1, on which we access via SSH, we could need to access to a LAN2 connected e.g. through a VPN. Essentially that machine can be a proxy for accessing to LAN2 and the easiest way is setting the port forwarding via SSH, so we obtain an encrypted SSL tunnel. The smartest of you have already though to use it as an anonymous navigation proxy or as a bounce, but any security matter is beyond the scope of this post. We only need to control both the machines on LAN1 and LAN2, in addition to the PC we are workin on.

I try to represent a typical situation:

IP on my local machine 192.168.0.123

host1 on LAN1
public IP 123.123.123.123
private IP 192.168.1.123

host2 on LAN2, reachable from host1 via VPN or else we don't mind
private IP 10.10.10.123

the request we want to achieve (e.g. browser) is a reply to http://10.10.10.123:34567

There will be 2 tunnels in place:
tun1 = from the local machine to host1 on any arbitrary port
tun2 = from host2 to host1 on the port we need to reach

if I would need additional hops, the mechanism is the same, e.g. with 4 hops:
tun1 = from the local machine to host1 on any arbitrary port
tun2 = from host2 to host1 on any arbitrary port
tun3 = from host3 to host2 on any arbitrary port
tun4 = from host4 to host3 on any arbitrary port
tun5 = from host5 to host4 on the port we need to reach

The ssh -L argument needs to specify that a bind between 2 ports will follow.

The leftmost port is the nearest to us (local machine or next hop).
The rightmost port is the remote, so we can imagine the following scheme:
ME --> localport:host1:port1 --> port1:host2:port2  --> port2:host3:port3 etc until the last host and the last port.

Let's go back to the 2 tunnels:

from the local machine to host1
ssh -L 9999:localhost:9999 root@host1

from host1 to host2
ssh -L 34567:localhost:9999 root@host2

Let's go back also to the 5 tunnels example:

ssh -L 9999:localhost:9999 root@host1
ssh -L 9999:localhost:9999 root@host2
ssh -L 9999:localhost:9999 root@host3
ssh -L 9999:localhost:9999 root@host4
ssh -L 34567:localhost:9999 root@host5

Now we only need to address the browser to:
http://localhost:34567

If we want to concatenate the commands in order to send them via SSH in a whole row:
ssh -v -L 9999:localhost:9999 root@host1 -t ssh -v -L 9999:localhost:9999 root@host2 -t ssh -v -L 9999:localhost:8080 root@host3 -t ssh -v -L 9999:localhost:8080 root@host4 -t ssh -v -L 34567:localhost:8080 root@host5

Split Tunneling + VPN + VMware (Windows, Mac OS X, Linux)

Mi è capitata l'esigenza di monitorare intere classi di apparati tramite VPN (in questo caso erano Cisco, ma è indifferente).

Purtroppo il router aziendale non supportava il Cisco Client, in quanto si trattava di una customizzazione di linux in cui il client vpnc si rifiutava di funzionare, ma forse il problema era il concentratore, antichissimo e in gestione a terzi. Per farla breve, l'unico apparato in grado di connettersi era una macchina Windows con a bordo XP o 2003 Server, tramite l'ordinario Cisco VPN Client o addirittura il VPN client integrato. Questo però mi impediva di svolgere operazioni che potevo compiere solo tramite server linux, ma ho trovato la soluzione forzando il 2003 Server (o XP... non avrebbe fatto differenza) a fare da gateway a una pletora di macchine virtuali linux.

192.168.101.0 è la LAN dell'ufficio

192.168.101.1 è il router di connettività

192.168.101.19 è il server WIndows 2003 Server che useremo come gateway VPN per via di RAM e CPU abbondanti (serve a ospitare le virtual machines)

VMware VIRTUAL MACHINE (NO PLAYER, es. VMware Workstation, Fusion, etc)

VMware Player non permette di editare il Virtual Networking, quindi non è adatto.

Concettualmente il VPN client di Microsoft permette di fare da gateway di connessione, sia per le VM ospitate al suo interno (VMware Workstation, Fusion ed altri futuri paritetici), ma anche per tutte le macchine della LAN.

WINDOWS CON CLIENT VPN E VMWARE WORKSTATION GIA' INSTALLATO

START / ESEGUI / regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage\Bind sposta in alto \Device\NdisWanIp riavvia

Connessione VPN / Proprietà / Rete / TCPIP / Proprietà:

• DNS server remoto (es. 10.0.0.101)
• Avanzate lascia flag gateway predefinito

Connessione VPN / Proprietà / Avanzate:

• consenti ad altri utenti
• scegli VMnet8 (è l'interfaccia di NAT di VMware)
• il sistema automaticamente imposta VMnet8 a 192.168.0.1, se è un secondo gateway (es. ridondante) metti un indirizzo diverso es. 192.168.0.2

Connetti la VPN e controlla quale indirizzo abbia il gateway, es.172.16.1.1.

VMware Workstation / Edit / Virtual Network Editor, sostituisci VMnet8 "Use local DHCP" il default 192.168.137.0 con 192.168.0.0.

START / ESEGUI / cmd

• route print (in basso non ci sono rotte statiche)
• route -p add 172.16.0.0 mask 255.255.0.0 172.16.1.1 metric 1
• (route -p sta per "persistent", cioè statica, si conserva al riavvio)
• ping 10.0.0.101 e anche ping google.it
• se non pinga google:
• route delete 0.0.0.0
• route add 0.0.0.0 mask 0.0.0.0 192.168.1001.1 metric 0

LINUX NELLA VM (usa la classe della VMnet8)

Le Virtual Machines devono avere 2 interfacce di rete (/etc/network/interfaces): eth0 è su VMnet8, eth1 invece in è bridge su VMnet1

sudo -i

nano /etc/networking/interfaces

# The loopback network interface

auto lo

iface lo inet loopback

#QUESTA E' LA LAN TRA MACCHINE VMWARE

auto eth0

iface eth0 inet static

   address 192.168.0.20

   netmask 255.255.255.0

   gateway 192.168.0.1

   dns-nameservers 10.0.0.101 10.0.0.102

#ATTENZIONE! QUESTA E' LA LAN ORDINARIA DELLE MACCHINE DELL'UFFICIO

auto eth1

iface eth1 inet static

   address 192.168.101.20

   netmask 255.255.255.0

   gateway 192.168.101.1

   dns-nameservers 192.168.101.1 208.67.222.222

/etc/init.d/networking restart

Considerati alcuni problemi di rotte di default (0.0.0.0 / 0) che ritornano, preferisco fare un cronjob di questo tipo:

# m h  dom mon dow   command

*/1 * * * * /home/conf/network_fab.sh

#!/bin/bash

sudo /sbin/route del -net 10.0.0.0/8 gw 192.168.0.1 dev eth0

sudo /sbin/route del -net 172.16.0.0/12 gw 192.168.0.1 dev eth0

sudo /sbin/route add -net 10.0.0.0/8 gw 192.168.0.1 dev eth0

sudo /sbin/route add -net 172.16.0.0/12 gw 192.168.0.1 dev eth0

sudo /sbin/route delete default dev eth0

e ci puoi infilare tutte le reti raggiungibili dal gateway remoto che ora raggiungi via VPN

OSX (ricorda di usare l'IP di Windows nella LAN come gateway)

sudo route -n add 10.0.0.0/8 192.168.101.19
sudo route -n add 172.16.0.0/12 192.168.101.19

Windows XP e 2003 (ricorda di usare l'IP di Windows nella LAN come gateway)

route -p add 10.0.0.0 mask 255.0.0.0 192.168.101.19 metric 1
route -p add 172.16.0.0 mask 255.255.0.0 192.168.101.19 metric 1

Gesù: il carattere, i poteri messianici, la nostra fede

La figura di Gesù viene delineata in modo a tratti netto all'interno dei Vangeli.

La testimonianza che gli evangelisti ci hanno tramandato è chiara: pur volendo accreditare l'enfasi inevitabile per coloro che furono testimoni diretti di miracoli ultraterreni, piuttosto che altrettanto inevitabili errori di traduzione, alcune descrizioni sono così particolareggiate e coerenti col contesto da lasciare davvero pochi spazi ai dubbi.

Le profetizzazioni dell'Antico Testamento erano metafore che, a leggerle oggi, fanno sorridere; oppure sono cariche di ammonizioni catastrofistiche un po' caricate, sicuramente adatte a colpire l'immaginazione delle persone dell'epoca che ben conoscevano guerre e catastrofi.

Al contrario Gesù rimane un comunicatore ancora attuale e le sue parabole usano lo stesso approccio che qualsiasi comunicatore oggi usa nello spiegare all'uditorio un concetto nuovo con esempi presi dal calcio, dalle automobili, etc. Allo stesso modo Gesù faceva esempi del ladro, del servo, del padrone e riusciva a spiegare in modo semplice sia ai dotti del tempio durante il sabato, sia quotidianamente al popolino fatto di pescatori e contadini.

Gesù ci viene anche tramandato come una persona che non ride mai, anzi spesso severa, ma che nonostante questo è mossa dallo stesso amore verso il prossimo che predica. Un esempio noto ma anche controverso è il seguente, che si ritrova in tutti gli evangelisti, ma è pregnante in Giovanni, ed è la cacciata dei venditori dal Tempio:

Si avvicinava intanto la Pasqua dei Giudei e Gesù salì a Gerusalemme. Trovò nel tempio gente che vendeva buoi, pecore e colombe e, là seduti, i cambiamonete. Allora fece una frusta di cordicelle e scacciò tutti fuori dal tempio, con le pecore e i buoi; gettò a terra il denaro dei cambiamonete e ne rovesciò i banchi, e ai venditori di colombe disse: «Portate via di qui queste cose e non fate della casa del Padre mio un mercato!». I suoi discepoli si ricordarono che sta scritto: «Lo zelo per la tua casa mi divorerà».
(Giovanni 2:13-17)

Questo passo descrive una scena che è valsa a Gesù l'errata attribuzione al movimento degli "zeloti", un movimento che giustificava la violenza fin'anche all'omicidio poichè si rifaceva ad un passo dei Maccabei, in cui Mattatia compì un omicidio per zelo verso Dio. Negli anni '60 anche questo atto di Gesù fu interpretato come zelota e giustificò la violenza al fine di instaurare il Regno. Ma ahimè le conseguenze della violenza religiosa oggi sono sotto gli occhi di tutti. Invece sono i sinottici (e in particolare Marco) che ci spiegano cosa avvenne subito dopo: che Gesù si mise ad insegnare.

Mi piace citare la lettera di Publio Lentulo a Tiberio: è considerata apocrifa, ma comunque ebbe credito nel passato perchè fornisce una descrizione di Gesù storicamente plausibile e abbastanza allineata con i Vangeli.

Ho inteso, o Cesare, che desideri sapere quanto ora ti narro: esiste qui un uomo, chiamato Gesù Cristo, il quale vive di grandi virtù.
Dalla gente è detto profeta, ed i suoi discepoli lo tengono per divino, e dicono che egli è figlio di Dio, Creatore del cielo e della terra, e di tutte le cose che in essa si trovano e sono fatte.
In verità, o Cesare, ogni giorno si sentono cose meravigliose di questo Cristo: risuscita i morti, e sana gli infermi con una sola parola.
Uomo di giusta statura, è molto bello di aspetto; ed ha grande maestà nel Volto, e quelli che lo mirano sono forzati ad amarlo e temerlo.
Ha i capelli color della nocciola ben matura; sono distesi sino alle orecchie, e dalle orecchie sino alle spalle sono color della terra, ma più risplendenti.
Ha nel mezzo della fronte in testa il crine spartito ad usanza dei Nazareni, il volto senza ruga, o macchia, accompagnato da un colore modesto.
Le narici e le labbra non possono da alcuno essere descritte. La barba è spessa ed ha somiglianza dei capelli, non molto lunga, ma spartita nel mezzo.
Il suo mirare è molto severo e grave: ha gli occhi come i raggi del sole, e nessuno può guardarlo fisso per lo splendore; e quando ammonisce si fa amare, ed è allegro con gravità.
Dicono che nessuno l'ha mai veduto ridere, ma bensì piangere.
Ha le mani e le braccia molto belle; nella conversazione contenta molti, ma si vede di rado; e quando Lo si trova, è molto modesto all'aspetto, e nella presenza è il più bell'uomo che si possa immaginare, tutto simile alla madre, la quale è la più giovane che siasi mai vista in queste parti.
Però se la Maestà tua, o Cesare, desidera di vederlo come negli avvisi passati mi scrivesti, fammelo sapere, che non mancherò subito di mandartelo.
Di lettere fa stupire la città di Gerusalemme.
Egli non ha studiato giammai con alcuno, eppure sa tutte le scienze.
Cammina scalzo, senza cosa alcuna in testa; molti ne ridono in vederlo, ma in presenza sua nel parlare con lui tremano e stupiscono.
Dicono che un tal uomo non è mai stato veduto, né inteso in queste parti.
In verità secondo quanto mi dicono gli ebrei non si è sentito mai nessuno di tali consigli, di così grande dottrina, come insegna questo Cristo, e molti Giudei lo tengono per divino e lo credono; e molti altri me lo querelano con dire che è contro la Maestà tua, o Cesare.
Si dice che non ha mai fatto dispiacere ad alcuna persona, anzi, tutti quelli che lo conoscono e che L'hanno incontrato dicono di aver ricevuto benefizi e sanità.
O Cesare, alla Maestà tua, alla tua obbedienza sono prontissimo: quanto mi comandi sarà eseguito. Vale.
Da Gerusalemme ripartizione settima, luna undicesima.
Della Maestà tua fedelissimo e obbedientissimo.
Publio Lentulo (Governatore della Giudea)

Alcuni esempi estremi della sua severità sono racchiusi in alcuni passi:

Subito dopo ordinò ai discepoli di salire sulla barca e di precederlo sull'altra sponda, mentre egli avrebbe congedato la folla. Congedata la folla, salì sul monte, solo, a pregare. Venuta la sera, egli se ne stava ancora solo lassù. La barca intanto distava gia qualche miglio da terra ed era agitata dalle onde, a causa del vento contrario. Verso la fine della notte egli venne verso di loro camminando sul mare. I discepoli, a vederlo camminare sul mare, furono turbati e dissero: «E' un fantasma» e si misero a gridare dalla paura. Ma subito Gesù parlò loro: «Coraggio, sono io, non abbiate paura». Pietro gli disse: «Signore, se sei tu, comanda che io venga da te sulle acque». Ed egli disse: «Vieni!». Pietro, scendendo dalla barca, si mise a camminare sulle acque e andò verso Gesù. Ma per la violenza del vento, s'impaurì e, cominciando ad affondare, gridò: «Signore, salvami!». E subito Gesù stese la mano, lo afferrò e gli disse: «Uomo di poca fede, perché hai dubitato?». (Matteo 14:22-36) 

Partito di là, Gesù si ritirò nel territorio di Tiro e di Sidone. Ed ecco una donna cananea di quei luoghi venne fuori e si mise a gridare: «Abbi pietà di me, Signore, Figlio di Davide. Mia figlia è gravemente tormentata da un demonio». Ma egli non le rispose parola. E i suoi discepoli si avvicinarono e lo pregavano dicendo: «Mandala via, perché ci grida dietro». Ma egli rispose: «Io non sono stato mandato che alle pecore perdute della casa d'Israele». Ella però venne e gli si prostrò davanti, dicendo: «Signore, aiutami!» Gesù rispose: «Non è bene prendere il pane dei figli per buttarlo ai cagnolini». Ma ella disse: «Dici bene, Signore, eppure anche i cagnolini mangiano delle briciole che cadono dalla tavola dei loro padroni». Allora Gesù le disse: «Donna, grande è la tua fede; ti sia fatto come vuoi». E da quel momento sua figlia fu guarita. (Matteo 15:21-28)

Gesù punta sempre l'accento sulla fede, perchè non è Lui che guarisce, ma la fede. Nel secondo passo, quello della donna cananea, Gesù le indica un percorso di fede: se avesse semplicemente guarito la figlia alla prima richiesta, lei se ne sarebbe andata contenta e tutto si sarebbe concluso lì, ma invece Gesù la costrinse all'introspezione e alla manifestazione di fede. Un altro esempio notevole in cui Gesù indica un percorso di fede è quello del nato cieco:

Passando vide un uomo cieco dalla nascita e i suoi discepoli lo interrogarono: «Rabbì, chi ha peccato, lui o i suoi genitori, perché egli nascesse cieco?». Rispose Gesù: «Né lui ha peccato né i suoi genitori, ma è così perché si manifestassero in lui le opere di Dio. Dobbiamo compiere le opere di colui che mi ha mandato finché è giorno; poi viene la notte, quando nessuno può più operare. Finché sono nel mondo, sono la luce del mondo». Detto questo sputò per terra, fece del fango con la saliva, spalmò il fango sugli occhi del cieco e gli disse: «Và a lavarti nella piscina di Sìloe (che significa Inviato)». Quegli andò, si lavò e tornò che ci vedeva. (Giovanni 9:1-12)

Gesù avrebbe potuto guarirlo come aveva fatto in altri casi, cioè rimandandolo, rimettendogli i peccati, imponendogli le mani, etc. Invece decide di sporcargli gli occhi con del fango per indicargli un percorso: il cieco avrebbe potuto lavarsi alla prima fontana che trovava, o semplicemente pulirsi gli occhi, ma decide di seguire il percorso indicato e la sua richiesta viene esaudita.

Gesù chiede la fede, per la mancanza di fede rimprovera le persone, in presenza di fede esaudisce la donna fenicia, alcuni romani, e persino quando, pur non volendo operare ancora nessun miracolo pubblico, decide di esaudire la fede di Maria alle nozze di Cana:

Tre giorni dopo, ci fu uno sposalizio a Cana di Galilea e c'era la madre di Gesù. Fu invitato alle nozze anche Gesù con i suoi discepoli. Nel frattempo, venuto a mancare il vino, la madre di Gesù gli disse: «Non hanno più vino». E Gesù rispose: «Che ho da fare con te, o donna? Non è ancora giunta la mia ora». La madre dice ai servi: «Fate quello che vi dirà». Vi erano là sei giare di pietra per la purificazione dei Giudei, contenenti ciascuna due o tre barili. E Gesù disse loro: «Riempite d'acqua le giare»; e le riempirono fino all'orlo. Disse loro di nuovo: «Ora attingete e portatene al maestro di tavola». Ed essi gliene portarono. E come ebbe assaggiato l'acqua diventata vino, il maestro di tavola, che non sapeva di dove venisse (ma lo sapevano i servi che avevano attinto l'acqua), chiamò lo sposo 1e gli disse: «Tutti servono da principio il vino buono e, quando sono un pò brilli, quello meno buono; tu invece hai conservato fino ad ora il vino buono». (Giovanni 2:1-10)

Maria, che ben conosce il figlio e il potere che Dio gli ha conferito, anche nel momento del diniego, sa che, di fronte alla fede che ha dentro di sè, Gesù non potrà resistere.

Gesù ci vuol dire che Dio ascolta sempre chi chiede con fede:

Or una donna, che da dodici anni era affetta da emorragia e aveva molto sofferto per opera di molti medici, spendendo tutti i suoi averi senza nessun vantaggio, anzi peggiorando, udito parlare di Gesù, venne tra la folla, alle sue spalle, e gli toccò il mantello. Diceva infatti: «Se riuscirò anche solo a toccare il suo mantello, sarò guarita». E subito le si fermò il flusso di sangue, e sentì nel suo corpo che era stata guarita da quel male. Ma subito Gesù, avvertita la potenza che era uscita da lui, si voltò alla folla dicendo: «Chi mi ha toccato il mantello?». I discepoli gli dissero: «Tu vedi la folla che ti si stringe attorno e dici: Chi mi ha toccato?». Egli intanto guardava intorno, per vedere colei che aveva fatto questo. E la donna impaurita e tremante, sapendo ciò che le era accaduto, venne, gli si gettò davanti e gli disse tutta la verità. Gesù rispose: «Figlia, la tua fede ti ha salvata. Và in pace e sii guarita dal tuo male». (Marco 5:25-34)

Questo episodio è emblematico perchè Gesù non aveva alcuna volontà di guarire la donna, e nemmeno si era accorto che qualcuno chiedeva la guarigione finchè una donna non lo ha toccato: una forza esce da lui involontariamente e questo episodio ci mostra anche i limiti dei poteri di Gesù. Infatti Gesù spesso è in grado di leggere nelle intenzioni es. dei farisei che vogliono coglierlo in fallo o ucciderlo, ma allora non si capisce se è in grado di leggere nella mente, come vogliono i traduttori, o se invece legge nelle intenzioni perchè è una persona intuitiva. Il racconto di Marco, evangelista noto per essere asciutto nelle descrizioni, ci racconta esattamente e senza spazi ad interpretazioni che Gesù non ha idea di chi lo abbia toccato: non riesce a leggere nella mente degli astanti, nè tantomeno della donna che evidentemente era ancora dietro di lui. Infatti non poteva essersi mossa a causa della folla ed è la donna stessa che, sentendo le parole di Gesù che cercava chi lo avesse toccato, si fa avanti impaurita. Ma c'è un messaggio più grande: tramite Gesù, è Dio che conferisce quella potenza che esaudisce chi chiede con fede sincera, come Gesù non manca mai di ricordare. E' il Padre l'artefice che esaudisce i figli, ma noi non sappiamo chiedere.

Gesù stesso, come si rileva da molti passi proprio del Vangelo di Marco, si ritira spessissimo a pregare il Padre in solitudine... non avrebbe forse il Padre esaudito il Figlio semplicemente vedendo che il Figlio aveva un bisogno? E invece Dio tiene molto al fatto che noi lo preghiamo e Luca ricorda le parole di Gesù a tal proprosito:

E aggiunse loro: Se uno di voi ha un amico e va da lui a mezzanotte e gli dice: «Amico, prestami tre pani, perché un amico mio è arrivato da un viaggio e non ho nulla da offrirgli;» se quello dall'interno risponde: «Non mi dar seccature, ora la porta è chiusa e i miei figli stanno a letto con me, non posso alzarmi e darteli;» io vi dico che, anche se non si alza a darglieli in quanto amico, pure per l'importunità sua si alzerà e gli darà quanto gli occorre. Perciò vi dico: Chiedete e vi sarà dato, cercate e troverete, bussate e vi sarà aperto. Infatti chiunque domanda riceve, chi cerca trova, e a chi bussa sarà aperto. E chi è tra voi quel padre che al figlio, il quale chieda un pane, dia un sasso? Oppure dia un serpente se chiede un pesce? Oppure uno scorpione se chiede un uovo? Se dunque voi che siete cattivi sapete dare cose buone ai vostri figli, quanto più il Padre che è nei cieli darà lo Spirito Santo a coloro che glielo domandano. (Luca 11:5-13)

Chiedere non è un atto che serve ad informare Dio, ma un gesto che Dio ci chiede per dimostrare la fede nella nostra richiesta. Poi è anche vero che Dio conosce i nostri bisogni e, come il buon padre, ci darà più di quello che gli chiediamo:

il Padre vostro sa di quali cose avete bisogno ancor prima che gliele chiediate (Matteo 6:8) 

Cinque passeri non si vendono forse per due soldi? Eppure nemmeno uno di essi è dimenticato davanti a Dio. Anche i capelli del vostro capo sono tutti contati. (Luca 12:6)

Per concludere, ritornando al tema della verosimiglianza storica, ripubblico una foto storica di Gesù. Tale foto è una delle rielaborazioni artistiche che Ray Downing, artista digitale ed esperto di 3D, ha fatto della ricostruzione 3D operata da egli stesso sulla Sacra Sindone di Torino. Tale ricostruzione 3D è stata anche oggetto di una trasmissione su alcuni noti canali satellitari scientifici, i cui video sono facilmente reperibili anche su internet. Mentre le rielaborazioni fotografiche rispecchiano la sensibilità artistica di Downing unita ad una solida base storica ed etnografica: ecco perchè potete dimenticare capelli biondi ed occhi azzurri, immaginando invece quei tratti i medio-orientali che Publio Lentulo o lo pseudo-tale descrive in modo storicamente conforme.