Peter Kuechler:
> schrieb Jochen Schulz <ml@well-adjusted.de>:
>>
>> Der sshd macht auf SERVER eine Verbindung von
>> localhost:$beliebiger_port nach SERVER:23 auf. Der telnetd auf SERVER
>> sieht dabei nur localhost als Client-IP-Adresse.
>
> Das habe ich schon geahnt, aber gut das du die Vermutung gefestigt hast.
> Die Information bekommt er auf Grund der Information aus der
> Kommandozeile beim Login, nehme ich an?
Wer ist im zweiten Satz "er"?
Der telnetd sieht nur die TCP-Verbindung von localhost. Die hat der sshd
aufgebaut, weil ihn der SSH-Client darum gebeten hat (und der sshd so
konfiguriert ist, dass er das auch macht, AllowTcpForwarding).
>> BTW kannst Du auch -L 5400:localhost:23 benutzen, denn der Hostname
>> (hier: localhost) wird erst auf der anderen Seite der SSH-Verbindung
>> aufgelöst. Auf diese Weise kannst Du Dienste auf localhost binden, sie
>> aber trotzdem von außen (eben über einen SSH-Tunnel) erreichen. Das
>> nutze ich oft so.
>
> Ok danke, das ist gut um den Vorgang besser zu verstehen
Zur Veranschaulichung noch ein Beispiel aus der Praxis:
Ich habe einen Mietserver, auf dem ein Webserver läuft. Der hält ein
paar Seiten vor, die nur ich sehen können soll. Im Webserver habe ich
dann gesagt, diese Seiten dürfen nur an Clients ausgeliefert werden, die
von 127.0.0.1 kommen.
Zusätzlich habe ich auf der Kiste einen HTTP-Proxy (tinyproxy)
installiert, der grundsätzlich nur auf 127.0.0.1 lauscht. Dieser Proxy
darf natürlich die geschützten Seiten abholen, also mache ich (wo auch
immer mein SSH-Key und ich sind) einfach einen TCP-Tunnel auf diesen
Proxy auf, trage das lokale Ende des Tunnels in meinem Browser als Proxy
ein (->SwitchProxy) und schon kann ich alles abrufen.
Klingt vielleicht beim ersten lesen kompliziert, ist es aber in der
Benutzung überhaupt nicht, weil ich eh immer PuTTY o.ä. mit mir
herumtrage. Auf diese Weise habe ich quasi "Single Sign On" per SSH,
weil ich natürlich auch andere Dinge wie IMAP oder so darüber tunneln
kann. Und in manchen Netzen fühlt man sich deutlich wohler, wenn man
seinen HTTP-Traffic wenigstens verschlüsselt aus dem Netz herausbekommt.
>> Klingt so, als wolltest Du eigentlich ein VPN. Das kann man neuerdings
>> mit OpenSSH (AFAIK aber noch nicht mit der Version in etch, bin aber
>> nicht sicher) machen oder man nimmt zB OpenVPN. Das ist relativ
>> einfach einzurichten.
>
> Hmm, das hört sich interessant an, damit hatte ich auch noch nix zu
> tun, hab ich mich immer drum herum gedrückt:->
> Aber wenn du sagst, das es so einfach ist wäre das jetzt der zeitpunkt,
> um es mal zu testen.
"Einfach" ist in diesem Zusammenhang durchaus relativ zu betrachten,
weil Spielereien mit Routing, Paketfiltern und dem ganzen Gedöns
natürlich beliebig komplex werden können. OpenVPN bietet aber zum Einen
gute Schritt-für-Schritt-Anleitungen mit schnellen Erfolgserlebnissen
(was in diesem Fall IMHO auch das Verständnis fördert) und zum Anderen
sind Skripte dabei, die die Schlüsselhandhabung relativ einfach halten.
J.
--
I think the environment will be okay.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature