1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

SSH Ports umleiten

Dieses Thema im Forum "Unix & Terminal" wurde erstellt von Ch-Macuser, 20.06.09.

  1. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Hallo zusammen

    Ich habe bei mir folgenden Sachverhalt: Ich habe einen Server, auf dem SSH läuft, und ich hätte gerne, dass der auf einem Highport lauscht. Soweit kein Problem, die Verbindung steht.

    Jetzt will ich eigentlich auch in den Zwischenstunden in der Schule darauf zugreifen. Das Problem hierbei: Es werden die meisten Ports auch outgoing gesperrt. Ich hatte das ausprobiert, dass ich den Server Zweitweise auf Port 22 lauschen liess, das funktionierte einwandfrei. Leider gab es da auch erhebliche Mehrbelastung durch Skript, die sich nun einloggen wollten, die vorher gar nicht durchgekommen sind.

    Meine Frage: Ist es möglich, an der Schule den Port 22 zu verwenden, und sich am Server auf der Highportnummer zu verbinden, z. B. auf den Port 50384, wenn ja wie? Ich muss ehrlich sagen, die Manpage zu ssh hilft mir da nicht gross weiter, da ich den Text da nicht verstehe.


    Zur Verdeutlichung nochmal ein Schema:

    Schule:port 22 --- Internet --- Server:port 50384

    Ich hoffe, ihr könnt mir helfen, und dass ich im richtigen Forum bin.

    Gruss Johannes
     
  2. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Weiss keiner eine Antwort?
     
  3. JazzP

    JazzP Ingrid Marie

    Dabei seit:
    21.08.07
    Beiträge:
    268
    Du könntest doch auf deinem Server über die Firewall mittels Masquerading von dem hohen Port auf 22 umleiten lassen?
    Oder eben nen hohen Port angeben bei dem SSH Server.

    Trotzdem musst du dann von der Schule aus mittels SSH Proggi (zB Putty) den hohen Port angeben.
    gruß
     
  4. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Das ist ja nicht das Problem. Ich verbinde mich über die Bash auf den Server. Der lauscht auf dem hohen Port. Normal gebe ich ein:

    Code:
    ssh name@serveradresse -p hoherPort
    Das funktioniert auch von überall, ausser von der Schule aus. Da komm ich gar nicht aus dem Schulnetzwerk raus, weil da die hohen ports auch für ausgehenden Netzwerkverkehr geblockt werden. Ich suche jetzt eigentlich nur die Lösung dafür, wie ich aus der Schule über einen offenen Port rauskomme, z. B. 22

    Ich werde mir aber Putty mal anschauen, vielleicht kann mir ein anderes Programm den Horizont erweitern

    Gruss Johannes
     
  5. Irgendein Held

    Irgendein Held Oberösterreichischer Brünerling

    Dabei seit:
    17.06.07
    Beiträge:
    714
    Du solltest dir ueberlegen ob es ueberhaupt Sinn macht, dass du dir deinen Port umlegst (security by obscurity).
     
  6. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Ja, das ist natürlich immer die Frage. Die Gefühlte Sicherheit ist bei mir zumindest viel höher. ;)

    Letztendlich geht es mir auch nicht um die absolute Sicherheit. Es geht mir darum, weniger unerwünschte zugriffe durch Skripte zu haben, da das eine recht alte Kiste ist. Von daher interessiert es mich, ob und wie das möglich ist. Falls ich keine andere Lösung finde, aktiviere ich Port 22 halt wieder.

    Gruss Johannes
     
  7. JazzP

    JazzP Ingrid Marie

    Dabei seit:
    21.08.07
    Beiträge:
    268
    aber nur von ein paar Anfragen über SSH geht doch deine Kiste nicht in die Knie oder?? Hatte früher n 800 MHZ PC mit Linux und der hatte nie Probs. Wenn deine Schule alle ausgehenden Ports gesperrt hat außer den Standardports wie 110 143 22 23 80 443 etc... dann bleibt dir nichts übrig als einen dieser zu benutzen. Gruß Jazz
     
  8. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Ok, wenn nichts anderes übrig bleibt, dann benutz ich die Standardports. Es ist eben so, dass ich bei 800 Mhz auch keine Hemmungen hätte, den offen zu lassen. Nur habe ich eben deutlich weniger. Es ist ein ziemlich alter Mac, ich glaube mindestens 10 Jahre, auf dem jetzt ein Debian läuft. Das ist vor kurzem meine Bastelkiste geworden.

    Auf jeden Fall Danke für die Antworten.

    Gruss Johannes
     
  9. NoaH11027

    NoaH11027 Weisser Rosenapfel

    Dabei seit:
    14.03.06
    Beiträge:
    777
    Mmmh, nur zum Verständnis. Wenn du das ssh Protokoll an deiner Schule verwendest, verwendest du den Client der Schule um dich auf deinen Server zu verbinden. SPrich mit der -p Option informierst du deinen eigenen Client das sich der Server auf einer anderen Adresse als der Standardadresse befindet.
    Das bedeutet schlicht und ergreifend das du schon auf Port 22 den Clientrechner verlässt. ICh vermute allerdings ganz stark das die Firewall deiner Schule (die ja irgendwo zwischen Client und Server liegt) den Highport blockt (was ja sinnvoll ist).
    Es wird wohl kaum ein Weg daran vorbei führen deinen Server wieder in die "well known ports" zu mappen. Wenn du nicht Port 22 verwenden kannst oder willst, dann nimm einen der "unassigned" Ports, 35 ist glaube so einer.

    N
     
  10. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Dabei ist exakt das Gegenteil der Fall.
    Für einen User-Port ( über 1k ) ganz besonders.
     
  11. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Kannst du mir das bitte erklären? Ich fände das echt Interessant zu wissen, auch wenn der Server mittlerweile wieder auf den Standardport gelegt ist.

    Gruss Johannes
     
  12. zeno

    zeno Lane's Prinz Albert

    Dabei seit:
    05.11.05
    Beiträge:
    4.898
    Leg ihn doch auf 443 (https) ;)
     
  13. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Ports bis inklusive 1023 kann nur root umleiten. Die kann nicht jeder User manipulieren, sondern nur root. Zumindest auf UNIX-Systemen.

    Beispiel:
    Code:
    KeyWest:~ macmark$ ssh -L 1023:127.0.0.1:5900 mickey@284.159.24.101
    Privileged ports can only be forwarded by root.
    Und nur root darf Ports bis 1023 öffnen:
    Code:
    KeyWest:~ macmark$ nc -lk localhost 123 &
    nc: Permission denied
    KeyWest:~ macmark$ nc -lk localhost 1234 &
    [1] 1626
    KeyWest:~ macmark$ telnet localhost 1234
    Trying ::1...
    Connected to localhost.
    Escape character is '^]'.
    
     
    #13 MacMark, 22.06.09
    Zuletzt bearbeitet: 22.06.09
  14. ezi0n

    ezi0n Leipziger Reinette

    Dabei seit:
    07.07.05
    Beiträge:
    1.786
    mach doch auf deinem router NPAT und leite zB da irgendeinen deiner ports extern auf 22 intern um, dann hast du letzt 2 listener extern 22 + deinen gewünschten port (wenn du das überhaupt wirklich willst) - den server aber grösser 1024 laufen zu lassen, kann ich dir ebenfalls aus den bereits genannten gründen nicht empfehlen ...

    gruß
    eZi
     
  15. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Die Ports oberhalb 1024 können von jedem Programm im User-Kontext belegt werden und gelten deshalb als "unsichere Ports". Die Portnummern darunter sind allein dem root-Benutzer vorbehalten.
    Wenn du dich mit einer beliebigen Client-Software (zB Terminal) mit einem zB auf Port 22000 laufenden SSH-Server verbindest, dann hast du keine Möglichkeit festzustellen, ob das tatsächlich ein SSH-Server ist oder doch nur eine Backdoor im gestern frisch runtergeladenen Gimmick-Programm von www.ischfiggdisch.ru
    Als SSH-Server ausgeben kann sich auf diesen Ports ein jeder, der ihn sich zuerst greift.
    Solche Ports dürfen niemals, unter gar keinen Umständen, nicht für eine einzige Sekunde für irgendwas benutzt werden, das auch nur im entferntesten mit administrativen Privilegien in Verbindung steht. Oder du bist gef***t.

    Und unterhalb von 1024 hat nicht umsonst ein jedes Protokoll und ein jeder Dienst seinen fest zugewiesenen Platz. Hier was anderes zu wählen ist etwa so sinnvoll und geistvoll wie der Versuch, zur Vermeidung von Auffahrunfällen auf der Autobahn sicherheitshalber die linke Fahrbahnhälfte zu benutzen.

    Solche hirngef***ten Ideen kommen immer dann raus, wenn Informatikstudenten am Ende des Studiums mehr von Ajax 3.0 und ActiveX verstehen als von den fundamentalsten TCP/IP Grundlagen. Keine Ahnung wie solcher Blödsinn den Weg ins Internet findet, vielleicht wars mal als Hoax gedacht.
     
    #15 Rastafari, 22.06.09
    Zuletzt bearbeitet: 23.06.09
  16. Ch-Macuser

    Ch-Macuser Roter Delicious

    Dabei seit:
    26.11.06
    Beiträge:
    93
    Ok, dann ist mir das jetzt auch klar. Ich danke euch für die Erklärungen. Ich hatte halt einen alten Computer abgestaubt und als Bastelserver eingerichtet. Dabei hatte ich im Internet relativ viel Material gefunden, und so eine Portänderung wurde noch relativ häufig empfohlen. Aber da ich das jetzt erklärt bekommen habe, werde ich das natürlich entsprechend ändern.

    Vielen Dank noch mal
    Gruss Johannes
     

Diese Seite empfehlen