Jaja, ich weiß, iptables ist böse, der Taufel und keine Sicherheitslösung, aber ich will mich auch garnicht absichern ;)
Ich möchte folgendes:
Mein sshd lauscht auf Port 22. Außerdem läuft da ein Webserver mit HTTPS an der selben Adresse.
Jetzt möchte ich mit iptables das so hinbiegen, dass, wann immer ich von einem bestimmten Host (und nur von dort) auf Port 443 zugreife, die Verbindung auf Port 22 landet (und natürlich auch umgekehrt, ist ja schließlich TCP).
Hintergrund der Geschichte: Von der Firma komm ich nur über Port 443 raus, möchte aber ssh nicht verlegen und den HTTPS will ich auch nicht abschalten. Geht das ganze?
Mir ist klar, das eine zweite IP die bessere Lösung wäre und ich weiß auch, dass ich dann von der Firma aus HTTPS nicht mehr erreichen kann...passt schon.
Mit iptables von Port A zu Port B
-
EdRoxter
- Posts: 483
- Joined: 2006-01-06 03:23
- Location: Neben Bonn
Re: Mit iptables von Port A zu Port B
Wollt ich auch so ähnlich schreiben. Wenn du einen netten Sysadmin hast, wird er, wenn er merkt, dass du weißt, was du tust, dir mit Sicherheit was einräumen können.
-
blattlaus
- Posts: 52
- Joined: 2007-03-08 13:45
Re: Mit iptables von Port A zu Port B
Warum hab ich überhaupt gefragt :roll:
Als wenn mir das nicht alles völlig klar wäre. Das ganze ist für Notfälle gedacht ("Zomg! Dein Mailserver ist down!1!"). Und im übrigens bin ich einer von den verschissenen Sysadmins. Ich bin zwar nicht für den Proxy und die Firewalls zuständig, aber der Kerl sitzt genau 2,3m entfernt. Es wäre also durchaus machbar mir den Zugriff auch über SSH zu erlauben. Allerdings steht in unseren Securitypolicies nunmal ganz eindeutig, dass bis auf HTTP/HTTPS in Gottes Namen jeder Port dicht zu sein hat und die werden nunmal an anderer Stelle geschrieben.
Aber trotzdem Danke für die große Hilfe, ich habe mitlerweile und wunderbares CGI-Skript, dass mir mit iptalbes den Port für 5 Minuten umbiegt und danach wieder zurücksetzt.
Kann in diesem Forum eigentlich nicht einmal davon ausgegangen werden, dass der Fragen wirklich weiß was er möchte, warum er es möchte und das er sich über alle Folgen und Konsequenzen im klaren ist und er einfach nur eine Frage beantwortet haben möchte.
Ich denke das ist ein grundlegendes Problem in diesem Forum und vermutlich der Grund warum es von vielen hier exakt einen Thread gibt, in dem ihre Frage nicht beantwortet wird und sie dann wieder gesehen werden.
Aber was solls...
Als wenn mir das nicht alles völlig klar wäre. Das ganze ist für Notfälle gedacht ("Zomg! Dein Mailserver ist down!1!"). Und im übrigens bin ich einer von den verschissenen Sysadmins. Ich bin zwar nicht für den Proxy und die Firewalls zuständig, aber der Kerl sitzt genau 2,3m entfernt. Es wäre also durchaus machbar mir den Zugriff auch über SSH zu erlauben. Allerdings steht in unseren Securitypolicies nunmal ganz eindeutig, dass bis auf HTTP/HTTPS in Gottes Namen jeder Port dicht zu sein hat und die werden nunmal an anderer Stelle geschrieben.
Aber trotzdem Danke für die große Hilfe, ich habe mitlerweile und wunderbares CGI-Skript, dass mir mit iptalbes den Port für 5 Minuten umbiegt und danach wieder zurücksetzt.
Kann in diesem Forum eigentlich nicht einmal davon ausgegangen werden, dass der Fragen wirklich weiß was er möchte, warum er es möchte und das er sich über alle Folgen und Konsequenzen im klaren ist und er einfach nur eine Frage beantwortet haben möchte.
Ich denke das ist ein grundlegendes Problem in diesem Forum und vermutlich der Grund warum es von vielen hier exakt einen Thread gibt, in dem ihre Frage nicht beantwortet wird und sie dann wieder gesehen werden.
Aber was solls...
-
flo
- Posts: 2223
- Joined: 2002-07-28 13:02
- Location: Berlin
Re: Mit iptables von Port A zu Port B
Dann schreib das doch genau so und druckse nicht rum - die Mehrzahl der 1x und nie wieder-Poster kriegen irgendwann genervte Antworten, weil man ihnen alles aus der Nase ziehen muß.
Wie wärs mit SSH per Java-Applet? Nachteil wäre, daß der Apache dafür auch laufen muß.
Wie wärs mit SSH per Java-Applet? Nachteil wäre, daß der Apache dafür auch laufen muß.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Mit iptables von Port A zu Port B
Warum nicht Ajaxterm?Blattlaus wrote:Hintergrund der Geschichte: Von der Firma komm ich nur über Port 443 raus, möchte aber ssh nicht verlegen und den HTTPS will ich auch nicht abschalten. Geht das ganze?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Mit iptables von Port A zu Port B
Bitte sachlich bleiben und falls möglich etwas zum Thema abgeben. Das gilt für alle.matzewe01 wrote:Weine, Du grösster aller Admins bitte zuhause rum.
-
hornox
- Posts: 139
- Joined: 2005-09-22 23:09
Re: Mit iptables von Port A zu Port B
Auch wenn der OrginalPoster schon eine Lösung hat, der Vollständigkeit halber:
Zumindest wenn der Host eine statische IP hat kommt man ohne CGIs mit root Rechten aus :)
Code: Select all
iptables -t nat -A PREROUTING -p tcp -s hostIP --dport 443 -j DNAT --to :22
iptables -t nat -A POSTROUTING -p tcp -d hostIP --sport 22 -j SNAT --to-source :443