Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSH Tunnel mit iptables

Mitglied: cscholz

cscholz (Level 1) - Jetzt verbinden

24.06.2006, aktualisiert 25.06.2006, 5705 Aufrufe, 8 Kommentare

Ich habe einen Debian Server über den ich per SSH zugreife. Zur Absicherung verwende ich iptables.
SSH habe ich dabei freigeschaltet.

01.
IPTABLES=/sbin/iptables 
02.
... 
03.
$IPTABLES -A INPUT -i $LAN_INTERFACE -p tcp --destination-port 1023 -m state --state NEW -j ACCEPT 
04.
$IPTABLES -A INPUT -i $WAN_INTERFACE -p tcp --destination-port 1023 -m state --state NEW -j ACCEPT 
05.
...
Ich komme auch mit SSH drauf, aber ich kann kein Portforwarding betreiben obwohl ich es in der sshd_config aktiviert habe (AllowTcpForwarding yes).

Sobald ich alle iptables Regeln wieder entfernen geht es.
Woran liegt das? Habe ich etwas vergessen?
Der SSH-Server hängt hinter einem Router. Muss ich NAT noch erlauben? Wenn ja, wie...

Beschäftige mich noch nicht so lange mit iptables.
Mitglied: Beagle
24.06.2006 um 11:34 Uhr
NAT aktivierst du so:
echo 1 > /proc/sys/net/ipv4/ip_forward
Das ist aber bei SSH Tunnel IMHO nicht notwendig.

Du musst aber auch die Antworten wieder rauslassen also eine entsprechende OUTPUT Regel erstellen. Irgendwie so denke ich:
iptables -A OUTPUT ... -m state --state ESTABLISHED,RELATED -j ACCEPT
Bitte warten ..
Mitglied: cscholz
24.06.2006 um 11:57 Uhr
01.
IPTABLES=/sbin/iptables 
02.
... 
03.
$IPTABLES -A INPUT -i $LAN_INTERFACE -p tcp --destination-port 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
04.
$IPTABLES -A INPUT -i $WAN_INTERFACE -p tcp --destination-port 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
05.
$IPTABLES -A OUTPUT -o $LAN_INTERFACE -p tcp --destination-port 22 -m state --state ESTABLISHED,RELATED -j ACCEPT 
06.
$IPTABLES -A OUTPUT -o $WAN_INTERFACE -p tcp --destination-port 22 -m state --state ESTABLISHED,RELATED -j ACCEPT 
07.
 
funktioniert auch nicht.

Ausgehender Verkehr über Port 22 funktioniert doch aber, sonst könnte ich ja per SSH auf dem System nicht arbeiten, oder?
Bitte warten ..
Mitglied: Beagle
24.06.2006 um 13:14 Uhr
Ich hab jetzt leider keine Möglichkeit um es zu testen.
Wenn ich dich richtig verstehe kommst du auf den Server rauf, aber auf das Gerät auf das du einen Tunnel machst antwortet nicht, wenn du deine Regeln setzt?

Die Antwort Regel muss dann auch in FORWARD Chain. ^^;
Versuch es mal mit dieser, einschränken kannst du dann immer noch ...ich bin nämlich nicht sicher ob die Antworten auch über 22 laufen?!?
$IPTABLES -A FORWARD -o $LAN_INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

Mir ist nur nicht klar warum es gehen soll wenn du die Regeln löschst ?!?
Bitte warten ..
Mitglied: cscholz
24.06.2006 um 14:06 Uhr
Manchmal denkt man nur bis zum nächsten Baum.

SSH hatte ich erlaubt
01.
IPTABLES=/sbin/iptables 
02.
... 
03.
$IPTABLES -A INPUT -i $LAN_INTERFACE -p tcp --destination-port 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
04.
$IPTABLES -A INPUT -i $WAN_INTERFACE -p tcp --destination-port 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Aber nicht den Verkehr in das eigenen Netz. Wenn ich dem eigenen Netz vertraue, dann geht es...
01.
$IPTABLES-A INPUT -i $LAN_INTERFACE  -s 192.168.0.0/255.255.255.0 -j ACCEPT 
02.
$IPTABLES -A OUTPUT -o $LAN_INTERFACE  -s 192.168.0.0/255.255.255.0 -j ACCEPT
Was mir noch nicht ganz klar ist, ist wenn ich mich per SSH auf den Server verbinde und dann über den Tunnel den Port 3389 eines Clients auf meinen lokalen 13389 umleiten. Welchen Port muss ich dann intern kommen auf den SSH Server freigeben?

ext ----- Port 22 -----> SSH-Server ----- Port 3389 -----> Client
ext <----- Port 22 ----- SSH-Server <----- Port ____ ----- Client
Bitte warten ..
Mitglied: Beagle
24.06.2006 um 16:02 Uhr
Was mir noch nicht ganz klar ist, ist wenn
ich mich per SSH auf den Server verbinde und
dann über den Tunnel den Port 3389 eines
Clients auf meinen lokalen 13389 umleiten.
Welchen Port muss ich dann intern kommen auf
den SSH Server freigeben?

Für den Tunnel sollte man eigentlich gar nichts freigeben müssen, das erledigt erledigt SSH für dich.
Bitte warten ..
Mitglied: cscholz
24.06.2006 um 16:19 Uhr
Der SSH-Server leitet doch den Port 3389 des Clients in den Tunnel hinein. Über welchen Port geschieht dies?
Nimmt der Server dafür einen Zufälligen Port? Port 22 kann es ja nicht sein, der ist freigegeben. 3389 oder 13389 ist es auch nicht. Habe ich auch versucht.

Ich habe jetzt im internen Netz erstmal alles freigegeben. Soll aber nicht die Endlösung sein.
Wenn ich mich nun per RDP über den Tunnel verbinde und anschließend mit netstat -p mir die Verbindungen anzeigen lasse steht dort:

01.
 unix  3      [ ]         STREAM     VERBUNDEN     44611    11445/sshd: remote
Also ist es doch ein Zufälliger Port oder nicht...

Verstehe die Arbeitsweise nicht so ganz.

Trotzdem schonmal danke an Beagle für die Hilfe & Geduld bis hierhin!
Bitte warten ..
Mitglied: Beagle
24.06.2006 um 18:05 Uhr
Genau kann ich es leider auch nicht erklären, aber es wird wie bei einem Webserver sein wo die Kommunikation auch über Ports > 1024 läuft. Und ich bin immer noch der Meinung, dass du die oben geschriebene FORWARD Regel brauchst ...da ansonsten z.B. auch keine WWW-Verbindungen von Clients in deinem Netz nach aussen zustande kommen.
Bitte warten ..
Mitglied: cscholz
25.06.2006 um 13:03 Uhr
Man muss den für den ausgehenden Verkehr die Ports 1024:65535 öffnen

01.
   $IPTABLES -A INPUT -i $LAN_INTERFACE -p tcp --destination-port 1023 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
02.
   $IPTABLES -A INPUT -i $WAN_INTERFACE -p tcp --destination-port 1023 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
03.
   $IPTABLES -A OUTPUT -o $LAN_INTERFACE -p tcp --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
04.
 
Kann also geschlossen werden.
Nochmals danke an Beagle . . .
Bitte warten ..
Ähnliche Inhalte
Microsoft
SSH RDP Tunnel Problem
Frage von Philbo69Microsoft15 Kommentare

Hey Leute ich habe ein Problem mit dem Aufbau einer RDP Session per SSH Tunnel. Host: IP-COP Port 222 ...

Ubuntu
SSH Tunnel einrichten : Basics
Frage von DestinationPortUbuntu6 Kommentare

Hallo, habe eine Übungsangabe bekommen, die ich selbst ohne Vorkenntnisse noch nicht ganz lösen kann. 1) Zwischen zwei Linux ...

Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Linux Netzwerk
Iptables forwarding
Frage von fundave3Linux Netzwerk2 Kommentare

Guten Abend zusammen, Ich habe mal eine kleine Frage. Mein Aufbau: Nun möchte ich zum einen zugriff auf das ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 21 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 4 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 4 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...