SSH über VPN Eingrenzen

[centro]

Hallo Gemeinde,

ich hab jetzt schon die ganze SFU genutzt aber nix brauchbares gefunden!

Ich möchte in meiner SSHD_config den IP Bereich meines VPN´s freigeben und den rest der Welt sperren.
Nur wie? - Was muss ich da eintragen bei

listen Adress: 10.8.0.0/24 oder was ?

Also 10.8.0. und das ganze mit nem Stern dahinter funzt ned!

Jemand nen Tipp? Hab mich nämlich schon zweimal "FAST" :-D ausgesperrt, langsam geht mir die Muffe!

Seinen eigenen Server dann hacken is uncool! 8)

Greetz Centro

[djcrackman]

Läuft der VPNd lokal auf dem Server?

[centro]

Ja der VPN Server läuft auf dem Rootie, ich habe auch per VPN die möglichkeit meinen SSH per 10.8.0.1 zu connecten.

Nun bräuchte ich nur noch die schreibweise, wie man es in die SSHD Konfig einträgt das man nur von diesem IP Bereich darauf connecten kann.. von mir aus von 10.8.0.1 bis 10 oder ähnlich!

Greetz Centro

[djcrackman]

Würde ich anders machen: verpasse net.lo eine zweite IP deiner VPN Range und binde den SSHd daran ;).

[centro]

Sorry, aber was meinst du mit net.lo ?

Im Prinzip würde es reichen wenn ich die Firewall bis auf die Ports von Mail-Web-VPN Server schließe, aber ich wills speziell in der sshd config ändern.

Weis denn keiner wie man einen IP Bereich in ne Config schreibt? -- Kaum zu glauben! :oops: .... ich weis auch nicht! :-D

[djcrackman]

Wie gesagt: vergib eine zweite interne IP und binde den SSHd daran - dann ist per public-IP nicht mehr zu erreichen.

[centro]

:-D WO!??? Soll ich die vergeben? In den Netzwerkkarteneinstellungen? ... ja okey, aber das ist doch absolut nicht nötig, ich müsste doch nur dem SSHD in der Config sagen das er auf die Public IP nicht mehr hören soll nur noch auf meinen VPN Bereich.... wieso so umständlich!

Von deiner Sicht her ist das sicher auch nicht viel schlimmer aber ich möchte momentan nur den sshd das oben genannte mitteilen!

bin ich in der config bei "listen Adress" eigentlich richtig um den "hören VON" einzustellen?

Greetz Centro

[djcrackman]

*seufz* Du siehst den Vorteil nicht - finde heraus was du damit noch alles machen kannst.

[elch_mg]

guck mal, kennst du das? Ich wette, damit lässt sich deine Frage beantworten.

Ach, übrigens: Nein, die listen-Direktive legt fest auf welchem Interface bzw. welcher IP der sshd auf eingehende Verbindungen lauscht. Wo genau ist das Problem, da die IP anzugeben die dein Rechner im VPN hat?

Über die Sinnfrage, was das bringt wenn du (hoffentlich) Authentifizierung per pubkey aktiviert hast, diskutieren wir jetzt ausnahmsweise nicht. Glaub ich.

[centro]

Mal abgesehen von PublicKEy Verfahren würde ich jetzt mal ausser diskussion sagen, wenn das ganze nur vom VPN erreichbar ist dann ists ja wohl bomben safe! :-D

Und mein FTP wäre auch noch getunnelt!

Genau das sind meine zwei Hauptgründe für diesen Post!

Greetz Centro

[elch_mg]

Guck dir mal WinSCP an. scp ist Dateitransfer über SSH.

Und, was macht die listen-Direktive?

[centro]

Winscp ist auch okey! --- GLFTP kann auch TLS/SSL mit 256Bit Verschlüsselung. Um das gehts mir garnicht.

Der FTP wäre nur ein zusätzlicher Vorteil.

Hauptgedanke liegt in SAMBA over VPN! 8)


Greetz Centro