Jag kom fram till genom följande;
sitter jag bakom brandväggen går det utmärkt att accessa sidan via ssh
tunnel, men sitter jag utanför brandväggen så går det inte. Om jag
däremot i mitt iptables script uttryckligen tillåter t.ex 1.2.3.4 att
accessa port x dvs dport x ja då går det bra utanför brandväggen.
Jag kan säga att jag var också förvånad. Jag trodde nämligen att om man
tunnlar så förvandlas förfrågan till en lokal förfrågan men så är
tydligen inte fallet.
Det är givetvis möjligt att jag missuppfattat något... men min bärbara
kan via port forwarding accessa port x så länge spm jag är bakom
brandväggen. Går jag utanför så måste jag ändra i mina
brandväggsregler. Min tanke var ursprungligen att bara göra en viss
sida tillgänglig lokalt samt genom ssh tunnlar men inte behöva ange
brandväggsregler.
2004-11-02 kl. 10.19 skrev Pontus Freyhult:
Hej,
externa maskinen heter extern med ip nummer 1.2.3.4
webservern heter server och har två nätverkskort dels 192.168.10.1
och dels 5.6.7.8 den senare (5.6.7.8) är ett fast ip ut mot internet.
brandväggen på server tillåter omvärlden att ansluta till port 80
för www anslutningar och till port 21 för ssh men inget annat.
webservern har en virtual alias som apache lyssnar till på port
3000.
när extern upprättar en tunnel så är det inget problem..men när
webläsaren på extern försöker ansluta till localhost:4000 och
tunnlas till port 3000 på servern kommer brandväggen att sätta stop
för det. Man kan visserligen lösa problemet genom att göra en accept
regel för just ip nr 1.2.3.4 men då måste man göra det för varje
nytt ip nummer. Jag skulle vilja ha en lösning där det spelar ingen
roll vad mitt ipnr utan avgörande för om trafiken tillåts är om jag
kan identifiera mig genom ssh tunneln.
Hur har du kommit fram till att en sådan extraregel behövs? Trafiken
till webbservern borde komma antingen från 5.6.7.8, 127.0.0.1 eller
192.168.10.1 (lite beroende på slumpen och hur du sätter upp din
ssh-tunnel, dvs vad du anger för namn/adress med -L).
/Pontus
--
Pontus Freyhult, see <URL:http://soua.net/> for more information.
