Re: Ssh auf bestimmten proxy-port
On Tue, Nov 21, 2000 at 12:01:26PM +0100, Andreas Tille wrote:
> On Tue, 21 Nov 2000, Heiko Schlittermann wrote:
>
> > Bei allem gehe ich davon aus, daß dieser Proxy dann transparent ist,
> > weil ja sonst der ganze SSH-Kram nicht funktioniert.
> Jetzt habe ich auch den Grund für den ganzen Schlammassel erfahren:
> Es wird ein Hardware-Firewall benutzt, bei dem Port 22 (oder ssh-Protokoll??)
> nicht implementiert ist. Es soll zwar was neues beschafft werden, aber
> das kann noch dauern. Was es alles gibt! Wieder was dazugelernt :-(.
Noe -- es ist doch lediglich notwendig, daß diese Firewall für Deine
Verbindungen transparant ist. Es gibt aber mehrere Arten Firewall
1 Paketfilter -- das dürfte kein Problem sein
2 Circuit Level -- auch problemarm, möglicherweise
aber modifizierte Clients notwendig (z.B. Socks ist sowas)
3 Application Level -- PROBLEM. Hier muß für jedes neue
Application-Protokoll ein Proxy her (Squid ist ein
prominentes Beispiel)
Häufig werden 1 und 3 kombiniert verwendet. Es sollte also kein Problem
geben, wenn Du Deinem Admin klarmachen kannst, daß er einfach von
Deiner IP-Adresse (beliebige Portnummer) Verbindung zu beliebigen
IP-Adressen (Port 22) zulassen soll. Das soweit für den ausgehenden
Teil.
Für den ankommenden Teil muß er nur alles zulassen, was von beliebigen
Adressen/Ports (ja, er kann hier Port 22 angeben, aber das bringt keine
Sicherheit) zu Deinem Rechner will, aber NUR, wenn _nicht_
_ausschließlich_ das SYN-Bit gesetzt ist.
Er kann die Sicherheit _etwas_ verbessern, wenn er für die externen
Adressen nur die zuläßt, die Du ihm sagst.
Best regards from Dresden/Germany
Viele Gruesse aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN --------------------- internet & unix support -
<a href="http://debian.schlittermann.de/"> Debian 2.x CD </a>
Heiko Schlittermann HS12-RIPE finger:heiko@schlittermann.de -
pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 -------
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
712 eingetragene Mitglieder in dieser Liste.
Reply to: