:?:
hi leute
habe folgendes problem:
habe einen fileserver hinter dem router stehn und will vom internet auf den fileserver über ssh zugreifen
meine iptables regeln (router)
iptables -t nat -A PREROUTING -i externesinterface -p tcp --dport 22 -j DNAT --to-destination 192.168.X.X:22
alle forward regeln sind zu testzwecken geöffnet
dürfte ja eigentlich reichen ??????
mfg
sibeg
ssh forwarding
Re: ssh forwarding
ja... habe das auch so...
Re: ssh forwarding
hi
und bei dir funktioniert es so ??
mfg
sibeg
und bei dir funktioniert es so ??
mfg
sibeg
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: ssh forwarding
Wobei sich mir die Frage nach dem Sinn stellt, denn schließlich ist der Router ja gerade dazu da, die Zugriffe für das interne Netz zu blocken.
Sinniger wäre hierfür IMHO, auf dem Fileserver einen anderen Port zu nutzen (entweder per zweitem sshd oder per geforwardetem Port), und diesen dann auf dem Router weiterzuleiten.
Just my 0,02 â?¬ ...
Sinniger wäre hierfür IMHO, auf dem Fileserver einen anderen Port zu nutzen (entweder per zweitem sshd oder per geforwardetem Port), und diesen dann auf dem Router weiterzuleiten.
Just my 0,02 â?¬ ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: ssh forwarding
hi
am fileserver läuft ebenfalls ssh .... und kann ja beliebig auf andere ports konfiguriert werden ....
aber welche passwd datei wird verwendet ??(fileserver od router )
bin ja der meinung das die passwd vom fileserver verwendet wird
oder liege ich da falsch ?
mfg
sibeg :?:
am fileserver läuft ebenfalls ssh .... und kann ja beliebig auf andere ports konfiguriert werden ....
aber welche passwd datei wird verwendet ??(fileserver od router )
bin ja der meinung das die passwd vom fileserver verwendet wird
oder liege ich da falsch ?
mfg
sibeg :?:
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: ssh forwarding
Wenn du den ssh-Port des Routers auf den des internen Rechners forwardest, wird natürlich die des internen Rechners genommen, und genau da liegt ja die Gefahr.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: ssh forwarding
sorry aber was meintest du mit IMHO ??
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: ssh forwarding
IMHO == In My Humble Opinion == Meiner bescheidenen Meinung nach
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: ssh forwarding
k
werde mir das nochmal genauer ansehen
und danke vorerst für die rasche antwort
cya
mfg
sibeg
werde mir das nochmal genauer ansehen
und danke vorerst für die rasche antwort
cya
mfg
sibeg
Re: ssh forwarding
ich nutze natürlich einen anderen port und leite den auf einen internen rechner auf port 22... hatte ich vergessen hinzuschreiben...
Re: ssh forwarding
hmm welchen Sinn macht es extern nen anderen Port zu nutzen ? ausser das es für 0,01 % Verwirrung (beim potentiellen und der Aktion begründenden Angreifer ) sorgt ?
default erstmal keinen ..
-- viel murks dabei :) --
Szenario:
1. schlauer Portscan findet den Dienst anhand der sig auch wenn er auf nem andren Port liegt
2. in Kombination mit iptables "psd" und/oder "recent" u.ä.
kann man dafür sorgen das nen Portscan als solcher erkannt und die IP denied wird .. ok .. fein .. das aber auch nicht ewig .. also gehts nach Zeit "X" weiter mit dem Scan .. potentiell betrachtet natürlich nur ;)
Irgendwann ( Gesetz dem Fall Mister X hat genug Zeit/Geduld oder ein schlaues Script :) ) erwischts den Port auch wenn er auf 65xxganzweithinten liegt ;)
.. witzig wäre jetzt natürlich nen "Portrandomizer" .. kann man mit ein wenig Umcoden sicher den "timematch" von Iptables nutzen ..
von 14:34 bis 14:54 höre auf port 43223
von 14:55 bis 16:43 höre auf port 34783
usw usf ..
oder nen Algorithmus der aus dem Geburstag der Mutter minus dem des Vaters plus der aktuellen Zeit dividiert durch die Tage bis zum nächsten Weihnachtsfest den Port erechnet ..
oder ... aber ok .. Prinzip ist klar oder ? ;)
-- viel murks vorbei --
prinzipiell sollte des sshd env ordentlich ausschauen .. also aktuelle Version ... kein ssh als Root ... rsakeys zur Authentifizierung .. dann ist imho absolut egal ob das Ding nun auf Port 22 oder xxxxx lauscht
... just another 2 cents :)
default erstmal keinen ..
-- viel murks dabei :) --
Szenario:
1. schlauer Portscan findet den Dienst anhand der sig auch wenn er auf nem andren Port liegt
2. in Kombination mit iptables "psd" und/oder "recent" u.ä.
kann man dafür sorgen das nen Portscan als solcher erkannt und die IP denied wird .. ok .. fein .. das aber auch nicht ewig .. also gehts nach Zeit "X" weiter mit dem Scan .. potentiell betrachtet natürlich nur ;)
Irgendwann ( Gesetz dem Fall Mister X hat genug Zeit/Geduld oder ein schlaues Script :) ) erwischts den Port auch wenn er auf 65xxganzweithinten liegt ;)
.. witzig wäre jetzt natürlich nen "Portrandomizer" .. kann man mit ein wenig Umcoden sicher den "timematch" von Iptables nutzen ..
von 14:34 bis 14:54 höre auf port 43223
von 14:55 bis 16:43 höre auf port 34783
usw usf ..
oder nen Algorithmus der aus dem Geburstag der Mutter minus dem des Vaters plus der aktuellen Zeit dividiert durch die Tage bis zum nächsten Weihnachtsfest den Port erechnet ..
oder ... aber ok .. Prinzip ist klar oder ? ;)
-- viel murks vorbei --
prinzipiell sollte des sshd env ordentlich ausschauen .. also aktuelle Version ... kein ssh als Root ... rsakeys zur Authentifizierung .. dann ist imho absolut egal ob das Ding nun auf Port 22 oder xxxxx lauscht
... just another 2 cents :)