Re: Ssh auf bestimmten proxy-port

Tue, 21 Nov 2000 03:39:43 -0800 

On Tue, Nov 21, 2000 at 12:01:26PM +0100, Andreas Tille wrote:
> On Tue, 21 Nov 2000, Heiko Schlittermann wrote:
> 
> > Bei allem gehe ich davon aus, da� dieser Proxy dann transparent ist,
> > weil ja sonst der ganze SSH-Kram nicht funktioniert.
> Jetzt habe ich auch den Grund f�r den ganzen Schlammassel erfahren:
> Es wird ein Hardware-Firewall benutzt, bei dem Port 22 (oder ssh-Protokoll??)
> nicht implementiert ist.  Es soll zwar was neues beschafft werden, aber
> das kann noch dauern.  Was es alles gibt!  Wieder was dazugelernt :-(.

Noe -- es ist doch lediglich notwendig, da� diese Firewall f�r Deine
Verbindungen transparant ist.  Es gibt aber mehrere Arten Firewall

    1 Paketfilter -- das d�rfte kein Problem sein
    2 Circuit Level -- auch problemarm, m�glicherweise
      aber modifizierte Clients notwendig (z.B. Socks ist sowas)
    3 Application Level -- PROBLEM.  Hier mu� f�r jedes neue
      Application-Protokoll ein Proxy her (Squid ist ein 
      prominentes Beispiel)


H�ufig werden 1 und 3 kombiniert verwendet.  Es sollte also kein Problem
geben, wenn Du Deinem Admin klarmachen kannst, da� er einfach von 
Deiner IP-Adresse (beliebige Portnummer) Verbindung zu beliebigen
IP-Adressen (Port 22) zulassen soll.  Das soweit f�r den ausgehenden
Teil.  

F�r den ankommenden Teil mu� er nur alles zulassen, was von beliebigen
Adressen/Ports (ja, er kann hier Port 22 angeben, aber das bringt keine
Sicherheit) zu Deinem Rechner will, aber NUR, wenn _nicht_
_ausschlie�lich_ das SYN-Bit gesetzt ist.

Er kann die Sicherheit _etwas_ verbessern, wenn er f�r die externen
Adressen nur die zul��t, die Du ihm sagst.


    Best regards from Dresden/Germany 
    Viele Gruesse aus Dresden        
    Heiko Schlittermann
-- 
 SCHLITTERMANN --------------------- internet & unix support -
 <a href="http://debian.schlittermann.de/"> Debian 2.x CD </a>
 Heiko Schlittermann HS12-RIPE finger:[EMAIL PROTECTED] -
 pgp: A1 7D F6 7B 69 73 48 35  E1 DE 21 A7 A8 9A 77 92 -------

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------

712 eingetragene Mitglieder in dieser Liste.

Antwort per Email an