[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ssh auf bestimmten proxy-port

On Tue, Nov 21, 2000 at 01:58:51PM +0100, Andreas Tille wrote:
> On Tue, 21 Nov 2000, Heiko Schlittermann wrote:
> 
> > Häufig werden 1 und 3 kombiniert verwendet.  Es sollte also kein Problem
> > geben, wenn Du Deinem Admin klarmachen kannst, daß er einfach von 
> > Deiner IP-Adresse (beliebige Portnummer) Verbindung zu beliebigen
> > IP-Adressen (Port 22) zulassen soll.  Das soweit für den ausgehenden
> > Teil.  
> Wie mach ich ihm das aber klar, wenn er meint, daß er pro Port nur
> einen entfernten Rechner ansprechen kann?

Wem, dem Admin oder dem Firewall?
Bei der Firewall glaube ich fast nicht, daß es so eine Einschränkung
gibt.  Beim Admin ...?


> > Für den ankommenden Teil muß er nur alles zulassen, was von beliebigen
> > Adressen/Ports (ja, er kann hier Port 22 angeben, aber das bringt keine
> > Sicherheit) zu Deinem Rechner will, aber NUR, wenn _nicht_
> > _ausschließlich_ das SYN-Bit gesetzt ist.
> > 
> > Er kann die Sicherheit _etwas_ verbessern, wenn er für die externen
> > Adressen nur die zuläßt, die Du ihm sagst.

> Jetzt noch mal langsam zum mitdenken:  Ich lebe bisher hier mit der
> Gewissheit, daß ich von draußen nicht auf meinen Rechner hinter dem
> Firewall draufkomme.  

Korrekt.

> Meinst Du jetzt mit "ankommender Teil" die
> IP-Pakete, die ich in einer von innen initiierten ssh-Verbindung
> empfange oder gar, daß ich mich von außen per ssh zu einem bestimmten
> Port des Firewalls an meinem innen liegenden Rechner anmelden kann?

Ich meinte den 1. Teil.  Das andere wäre sowas wie Portforwarding,
machen manche FWs, aber wolltest Du ja garnicht.

Ich meinte genau die Pakete, die ``zu Deiner von innen begonnenen''
Verbindung gehören



    Local		    Remote
	Port *			Port 22

	    SYN -------------->
	    <-------------- SYN, ACK
	    ACK -------------->

	    daten, ACK ------->
	    <-------------- daten, ACK

	    ....


Eine TCP-Verbindung wird immer mit einem Paket mit gesetzten SYN und
_ohne_ ACK aufgebaut.  Sobald Du von außen diese Pakete blockst, kann
regulär zu Dir keiner eine Verbindung starten.  Wohl können aber die
anderen Päckchen rein, die haben ein ACK und einen Port und eine
Sequenznummer, mit deren Hilfe die Zuordnung zu einer bestehenden
Verbindung möglich ist.  (Ja, Spoofing ist immer noch möglich, aber
gerade das wäre ja das Argument für den Einsatz einer SSH an Stelle von
Telnet.)



    Best regards from Dresden/Germany 
    Viele Gruesse aus Dresden        
    Heiko Schlittermann
-- 
 SCHLITTERMANN --------------------- internet & unix support -
 <a href="http://debian.schlittermann.de/";> Debian 2.x CD </a>
 Heiko Schlittermann HS12-RIPE finger:heiko@schlittermann.de -
 pgp: A1 7D F6 7B 69 73 48 35  E1 DE 21 A7 A8 9A 77 92 -------





--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

712 eingetragene Mitglieder in dieser Liste.
Reply to: