Mit iptables von Port A zu Port B

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
blattlaus
Posts: 52
Joined: 2007-03-08 13:45

Mit iptables von Port A zu Port B

Post by blattlaus » 2007-08-17 16:30

Jaja, ich weiß, iptables ist böse, der Taufel und keine Sicherheitslösung, aber ich will mich auch garnicht absichern ;)

Ich möchte folgendes:
Mein sshd lauscht auf Port 22. Außerdem läuft da ein Webserver mit HTTPS an der selben Adresse.
Jetzt möchte ich mit iptables das so hinbiegen, dass, wann immer ich von einem bestimmten Host (und nur von dort) auf Port 443 zugreife, die Verbindung auf Port 22 landet (und natürlich auch umgekehrt, ist ja schließlich TCP).

Hintergrund der Geschichte: Von der Firma komm ich nur über Port 443 raus, möchte aber ssh nicht verlegen und den HTTPS will ich auch nicht abschalten. Geht das ganze?

Mir ist klar, das eine zweite IP die bessere Lösung wäre und ich weiß auch, dass ich dann von der Firma aus HTTPS nicht mehr erreichen kann...passt schon.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Mit iptables von Port A zu Port B

Post by EdRoxter » 2007-08-18 02:26

Wollt ich auch so ähnlich schreiben. Wenn du einen netten Sysadmin hast, wird er, wenn er merkt, dass du weißt, was du tust, dir mit Sicherheit was einräumen können.

blattlaus
Posts: 52
Joined: 2007-03-08 13:45

Re: Mit iptables von Port A zu Port B

Post by blattlaus » 2007-08-18 13:18

Warum hab ich überhaupt gefragt :roll:
Als wenn mir das nicht alles völlig klar wäre. Das ganze ist für Notfälle gedacht ("Zomg! Dein Mailserver ist down!1!"). Und im übrigens bin ich einer von den verschissenen Sysadmins. Ich bin zwar nicht für den Proxy und die Firewalls zuständig, aber der Kerl sitzt genau 2,3m entfernt. Es wäre also durchaus machbar mir den Zugriff auch über SSH zu erlauben. Allerdings steht in unseren Securitypolicies nunmal ganz eindeutig, dass bis auf HTTP/HTTPS in Gottes Namen jeder Port dicht zu sein hat und die werden nunmal an anderer Stelle geschrieben.

Aber trotzdem Danke für die große Hilfe, ich habe mitlerweile und wunderbares CGI-Skript, dass mir mit iptalbes den Port für 5 Minuten umbiegt und danach wieder zurücksetzt.

Kann in diesem Forum eigentlich nicht einmal davon ausgegangen werden, dass der Fragen wirklich weiß was er möchte, warum er es möchte und das er sich über alle Folgen und Konsequenzen im klaren ist und er einfach nur eine Frage beantwortet haben möchte.
Ich denke das ist ein grundlegendes Problem in diesem Forum und vermutlich der Grund warum es von vielen hier exakt einen Thread gibt, in dem ihre Frage nicht beantwortet wird und sie dann wieder gesehen werden.
Aber was solls...

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Mit iptables von Port A zu Port B

Post by flo » 2007-08-18 13:51

Dann schreib das doch genau so und druckse nicht rum - die Mehrzahl der 1x und nie wieder-Poster kriegen irgendwann genervte Antworten, weil man ihnen alles aus der Nase ziehen muß.

Wie wärs mit SSH per Java-Applet? Nachteil wäre, daß der Apache dafür auch laufen muß.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Mit iptables von Port A zu Port B

Post by Roger Wilco » 2007-08-18 14:27

Blattlaus wrote:Hintergrund der Geschichte: Von der Firma komm ich nur über Port 443 raus, möchte aber ssh nicht verlegen und den HTTPS will ich auch nicht abschalten. Geht das ganze?

Warum nicht Ajaxterm?

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Mit iptables von Port A zu Port B

Post by Roger Wilco » 2007-08-18 14:54

matzewe01 wrote:Weine, Du grösster aller Admins bitte zuhause rum.

Bitte sachlich bleiben und falls möglich etwas zum Thema abgeben. Das gilt für alle.

hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: Mit iptables von Port A zu Port B

Post by hornox » 2007-08-18 16:22

Auch wenn der OrginalPoster schon eine Lösung hat, der Vollständigkeit halber:

Code: Select all

iptables -t nat -A PREROUTING  -p tcp -s hostIP --dport 443 -j DNAT --to :22
iptables -t nat -A POSTROUTING -p tcp -d hostIP --sport 22  -j SNAT --to-source :443
Zumindest wenn der Host eine statische IP hat kommt man ohne CGIs mit root Rechten aus :)