SSH Ports umleiten

[Ch-Macuser]

Hallo zusammen

Ich habe bei mir folgenden Sachverhalt: Ich habe einen Server, auf dem SSH läuft, und ich hätte gerne, dass der auf einem Highport lauscht. Soweit kein Problem, die Verbindung steht.

Jetzt will ich eigentlich auch in den Zwischenstunden in der Schule darauf zugreifen. Das Problem hierbei: Es werden die meisten Ports auch outgoing gesperrt. Ich hatte das ausprobiert, dass ich den Server Zweitweise auf Port 22 lauschen liess, das funktionierte einwandfrei. Leider gab es da auch erhebliche Mehrbelastung durch Skript, die sich nun einloggen wollten, die vorher gar nicht durchgekommen sind.

Meine Frage: Ist es möglich, an der Schule den Port 22 zu verwenden, und sich am Server auf der Highportnummer zu verbinden, z. B. auf den Port 50384, wenn ja wie? Ich muss ehrlich sagen, die Manpage zu ssh hilft mir da nicht gross weiter, da ich den Text da nicht verstehe.


Zur Verdeutlichung nochmal ein Schema:

Schuleort 22 --- Internet --- Serverort 50384

Ich hoffe, ihr könnt mir helfen, und dass ich im richtigen Forum bin.

Gruss Johannes

 

[Ch-Macuser]

Weiss keiner eine Antwort?

 

[JazzP]

Du könntest doch auf deinem Server über die Firewall mittels Masquerading von dem hohen Port auf 22 umleiten lassen?
Oder eben nen hohen Port angeben bei dem SSH Server.

Trotzdem musst du dann von der Schule aus mittels SSH Proggi (zB Putty) den hohen Port angeben.
gruß

 

[Ch-Macuser]

Das ist ja nicht das Problem. Ich verbinde mich über die Bash auf den Server. Der lauscht auf dem hohen Port. Normal gebe ich ein:

ssh name@serveradresse -p hoherPort

Das funktioniert auch von überall, ausser von der Schule aus. Da komm ich gar nicht aus dem Schulnetzwerk raus, weil da die hohen ports auch für ausgehenden Netzwerkverkehr geblockt werden. Ich suche jetzt eigentlich nur die Lösung dafür, wie ich aus der Schule über einen offenen Port rauskomme, z. B. 22

Ich werde mir aber Putty mal anschauen, vielleicht kann mir ein anderes Programm den Horizont erweitern

Gruss Johannes

 

[Irgendein Held]

Du solltest dir ueberlegen ob es ueberhaupt Sinn macht, dass du dir deinen Port umlegst (security by obscurity).

 

[Ch-Macuser]

Ja, das ist natürlich immer die Frage. Die Gefühlte Sicherheit ist bei mir zumindest viel höher.

Letztendlich geht es mir auch nicht um die absolute Sicherheit. Es geht mir darum, weniger unerwünschte zugriffe durch Skripte zu haben, da das eine recht alte Kiste ist. Von daher interessiert es mich, ob und wie das möglich ist. Falls ich keine andere Lösung finde, aktiviere ich Port 22 halt wieder.

Gruss Johannes

 

[JazzP]

aber nur von ein paar Anfragen über SSH geht doch deine Kiste nicht in die Knie oder?? Hatte früher n 800 MHZ PC mit Linux und der hatte nie Probs. Wenn deine Schule alle ausgehenden Ports gesperrt hat außer den Standardports wie 110 143 22 23 80 443 etc... dann bleibt dir nichts übrig als einen dieser zu benutzen. Gruß Jazz

 

[Ch-Macuser]

Ok, wenn nichts anderes übrig bleibt, dann benutz ich die Standardports. Es ist eben so, dass ich bei 800 Mhz auch keine Hemmungen hätte, den offen zu lassen. Nur habe ich eben deutlich weniger. Es ist ein ziemlich alter Mac, ich glaube mindestens 10 Jahre, auf dem jetzt ein Debian läuft. Das ist vor kurzem meine Bastelkiste geworden.

Auf jeden Fall Danke für die Antworten.

Gruss Johannes

 

[NoaH11027]

Mmmh, nur zum Verständnis. Wenn du das ssh Protokoll an deiner Schule verwendest, verwendest du den Client der Schule um dich auf deinen Server zu verbinden. SPrich mit der -p Option informierst du deinen eigenen Client das sich der Server auf einer anderen Adresse als der Standardadresse befindet.
Das bedeutet schlicht und ergreifend das du schon auf Port 22 den Clientrechner verlässt. ICh vermute allerdings ganz stark das die Firewall deiner Schule (die ja irgendwo zwischen Client und Server liegt) den Highport blockt (was ja sinnvoll ist).
Es wird wohl kaum ein Weg daran vorbei führen deinen Server wieder in die "well known ports" zu mappen. Wenn du nicht Port 22 verwenden kannst oder willst, dann nimm einen der "unassigned" Ports, 35 ist glaube so einer.

N

 

[Rastafari]

Ja, das ist natürlich immer die Frage. Die Gefühlte Sicherheit ist bei mir zumindest viel höher.

Dabei ist exakt das Gegenteil der Fall.
Für einen User-Port ( über 1k ) ganz besonders.

 

[Ch-Macuser]

Dabei ist exakt das Gegenteil der Fall.
Für einen User-Port ( über 1k ) ganz besonders.

Kannst du mir das bitte erklären? Ich fände das echt Interessant zu wissen, auch wenn der Server mittlerweile wieder auf den Standardport gelegt ist.

Gruss Johannes

 

[zeno]

Leg ihn doch auf 443 (https)

 

[MacMark]

Kannst du mir das bitte erklären? Ich fände das echt Interessant zu wissen, auch wenn der Server mittlerweile wieder auf den Standardport gelegt ist. …

Ports bis inklusive 1023 kann nur root umleiten. Die kann nicht jeder User manipulieren, sondern nur root. Zumindest auf UNIX-Systemen.

Beispiel:

KeyWest:~ macmark$ ssh -L 1023:127.0.0.1:5900 [email protected]
Privileged ports can only be forwarded by root.

Und nur root darf Ports bis 1023 öffnen:

KeyWest:~ macmark$ nc -lk localhost 123 &
nc: Permission denied
KeyWest:~ macmark$ nc -lk localhost 1234 &
[1] 1626
KeyWest:~ macmark$ telnet localhost 1234
Trying ::1...
Connected to localhost.
Escape character is '^]'.

 

[ezi0n]

mach doch auf deinem router NPAT und leite zB da irgendeinen deiner ports extern auf 22 intern um, dann hast du letzt 2 listener extern 22 + deinen gewünschten port (wenn du das überhaupt wirklich willst) - den server aber grösser 1024 laufen zu lassen, kann ich dir ebenfalls aus den bereits genannten gründen nicht empfehlen ...

gruß
eZi

 

[Rastafari]

Kannst du mir das bitte erklären?

Die Ports oberhalb 1024 können von jedem Programm im User-Kontext belegt werden und gelten deshalb als "unsichere Ports". Die Portnummern darunter sind allein dem root-Benutzer vorbehalten.
Wenn du dich mit einer beliebigen Client-Software (zB Terminal) mit einem zB auf Port 22000 laufenden SSH-Server verbindest, dann hast du keine Möglichkeit festzustellen, ob das tatsächlich ein SSH-Server ist oder doch nur eine Backdoor im gestern frisch runtergeladenen Gimmick-Programm von www.ischfiggdisch.ru
Als SSH-Server ausgeben kann sich auf diesen Ports ein jeder, der ihn sich zuerst greift.
Solche Ports dürfen niemals, unter gar keinen Umständen, nicht für eine einzige Sekunde für irgendwas benutzt werden, das auch nur im entferntesten mit administrativen Privilegien in Verbindung steht. Oder du bist gef***t.

Und unterhalb von 1024 hat nicht umsonst ein jedes Protokoll und ein jeder Dienst seinen fest zugewiesenen Platz. Hier was anderes zu wählen ist etwa so sinnvoll und geistvoll wie der Versuch, zur Vermeidung von Auffahrunfällen auf der Autobahn sicherheitshalber die linke Fahrbahnhälfte zu benutzen.

Solche hirngef***ten Ideen kommen immer dann raus, wenn Informatikstudenten am Ende des Studiums mehr von Ajax 3.0 und ActiveX verstehen als von den fundamentalsten TCP/IP Grundlagen. Keine Ahnung wie solcher Blödsinn den Weg ins Internet findet, vielleicht wars mal als Hoax gedacht.

 

[Ch-Macuser]

Ok, dann ist mir das jetzt auch klar. Ich danke euch für die Erklärungen. Ich hatte halt einen alten Computer abgestaubt und als Bastelserver eingerichtet. Dabei hatte ich im Internet relativ viel Material gefunden, und so eine Portänderung wurde noch relativ häufig empfohlen. Aber da ich das jetzt erklärt bekommen habe, werde ich das natürlich entsprechend ändern.

Vielen Dank noch mal
Gruss Johannes