Peter Kuechler: > schrieb Jochen Schulz <ml@well-adjusted.de>: >> >> Der sshd macht auf SERVER eine Verbindung von >> localhost:$beliebiger_port nach SERVER:23 auf. Der telnetd auf SERVER >> sieht dabei nur localhost als Client-IP-Adresse. > > Das habe ich schon geahnt, aber gut das du die Vermutung gefestigt hast. > Die Information bekommt er auf Grund der Information aus der > Kommandozeile beim Login, nehme ich an? Wer ist im zweiten Satz "er"? Der telnetd sieht nur die TCP-Verbindung von localhost. Die hat der sshd aufgebaut, weil ihn der SSH-Client darum gebeten hat (und der sshd so konfiguriert ist, dass er das auch macht, AllowTcpForwarding). >> BTW kannst Du auch -L 5400:localhost:23 benutzen, denn der Hostname >> (hier: localhost) wird erst auf der anderen Seite der SSH-Verbindung >> aufgelöst. Auf diese Weise kannst Du Dienste auf localhost binden, sie >> aber trotzdem von außen (eben über einen SSH-Tunnel) erreichen. Das >> nutze ich oft so. > > Ok danke, das ist gut um den Vorgang besser zu verstehen Zur Veranschaulichung noch ein Beispiel aus der Praxis: Ich habe einen Mietserver, auf dem ein Webserver läuft. Der hält ein paar Seiten vor, die nur ich sehen können soll. Im Webserver habe ich dann gesagt, diese Seiten dürfen nur an Clients ausgeliefert werden, die von 127.0.0.1 kommen. Zusätzlich habe ich auf der Kiste einen HTTP-Proxy (tinyproxy) installiert, der grundsätzlich nur auf 127.0.0.1 lauscht. Dieser Proxy darf natürlich die geschützten Seiten abholen, also mache ich (wo auch immer mein SSH-Key und ich sind) einfach einen TCP-Tunnel auf diesen Proxy auf, trage das lokale Ende des Tunnels in meinem Browser als Proxy ein (->SwitchProxy) und schon kann ich alles abrufen. Klingt vielleicht beim ersten lesen kompliziert, ist es aber in der Benutzung überhaupt nicht, weil ich eh immer PuTTY o.ä. mit mir herumtrage. Auf diese Weise habe ich quasi "Single Sign On" per SSH, weil ich natürlich auch andere Dinge wie IMAP oder so darüber tunneln kann. Und in manchen Netzen fühlt man sich deutlich wohler, wenn man seinen HTTP-Traffic wenigstens verschlüsselt aus dem Netz herausbekommt. >> Klingt so, als wolltest Du eigentlich ein VPN. Das kann man neuerdings >> mit OpenSSH (AFAIK aber noch nicht mit der Version in etch, bin aber >> nicht sicher) machen oder man nimmt zB OpenVPN. Das ist relativ >> einfach einzurichten. > > Hmm, das hört sich interessant an, damit hatte ich auch noch nix zu > tun, hab ich mich immer drum herum gedrückt:-> > Aber wenn du sagst, das es so einfach ist wäre das jetzt der zeitpunkt, > um es mal zu testen. "Einfach" ist in diesem Zusammenhang durchaus relativ zu betrachten, weil Spielereien mit Routing, Paketfiltern und dem ganzen Gedöns natürlich beliebig komplex werden können. OpenVPN bietet aber zum Einen gute Schritt-für-Schritt-Anleitungen mit schnellen Erfolgserlebnissen (was in diesem Fall IMHO auch das Verständnis fördert) und zum Anderen sind Skripte dabei, die die Schlüsselhandhabung relativ einfach halten. J. -- I think the environment will be okay. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature