Re: ssh-tunnel och brandväggsregler

[Thomas Nyman <thomas@teg.pp.se>]

Hej

jag tog inte illa upp..ingen fara.

Jag skall kolla lite mer och även testa dina förslag...men -g växeln 
har väl ingen inverkan på problemet.

En fråga bara - varför tycker du 127.0.0.1 är bättre än 
192.168.1.1..vad är fördelen med 127.0.0.1 jämfört med annan adress?

Det är ok att skicka till listan.

Thomas


2004-11-02 kl. 16.57 skrev Martin Leben:

> Thomas Nyman skrev:
> > tcpdum - tcpdump -tcpdump
>
> Jag menade verkligen inget illa, men lite sniffande brukar lösa en hel 
> massa problem. Nätverkssniffande! :-)
>
> > Här är utdrag från tcpdump på min laptop när jag etablerar tunneln 
> > som körs på lokalt på 8080 till destination 192.0.2.1 (= example.com) 
> > port 3000
>
> Jag vet inte om ett av mina tidigare brev kom fram, så jag repeterar 
> mitt (lätt modifierade) förslag på etablering av tunneln:
> $ ssh -g -i identititet -L 8080:localhost:3000 user@example.com
>
> ("-g" gör att andra på laptopens nät också kan använda tunneln.)
>
> Det enda som syns i loggen från tcpdump (skickad privat) på det 
> nätverkskortet är att du faktiskt etablerar en ssh-förbindelse. Man 
> ser ingenting av tunneln, vilket också är en av poängerna med ssh: 
> Tunneln syns bara i ändpunkterna. För att se om tunneln faktiskt 
> kommer upp kan du köra netstat lokalt. Då ska du kunna se den 
> lyssnande socketen. För att se om tunneln faktiskt används kan du 
> tcpdumpa på loopbackinterfacet lokalt och på servern:
> lokalt$ tcpdump -i lo
> server$ tcpdump -i lo
> när du kör "http://localhost:8080"; i webläsaren på din laptop.
>
> > Webserver har en virtual host 192.0.2.1:3000 och lyssnar också på 
> > port 3000
>
> Det går förmodligen att göra så, men det enklaste är att använda 
> virtual host 127.0.0.1:3000 istället. (När du väl fått det att fungera 
> och förstår lite mer om hur ssh funkar kan du överväga att använda 
> virtual host 192.0.2.1:3000 istället. Själv skulle jag dock INTE göra 
> det.)
>
> > Webservern skall naturligtvis kunna tillhandahålla publika sidor 
> > också det är enbart en viss virtual host som skall gå via ssh.
>
> Ok. Desto större anledning att använda virtual host 127.0.0.1:3000 
> istället.
>
> Lycka till & ha det bra!
>
> /Martin Leben
>
> Ps/ Hör gärna av dig och säg hur det går! Efterssom listans policy och 
> vanlig netikett inte tillåter att jag postar detta till listan 
> (efterssom du skickade ditt brev till mej privat), skickar jag det 
> till dej privat. För arkivets skull, kan du väl höra av dej och säga 
> om det är OK att jag skickar detta brev till listan också.
> /Ds
>
> [1] "Special-Use IPv4 Addresses" http://rfc.net/rfc3330.html
>
> --
> tel 070-535 56 30, 08-754 99 95
> web http://www.leben.nu
> msn martin@leben.nu
> icq 194143608