Hej
kommandoraden är ssh -i identititet -L 8080:webserver.com:40000
[EMAIL PROTECTED]
Jag har ingen tcpdump att skicka just nu, men jag har kontrollerat det
hela och tunneln är etablerad. Om jag t.ex befinner mig på en plats som
använder masquerading där alla lokala maskiner har ip inom intervallet
192.168.10.11-192.168.10.15 och jag läger till dessa ip i min hosts fil
samt i mitt brandväggs skript så fungerar tunneln från externt håll. Av
detta kan jag dra slutsatsen att tunneln är etablerad och fungerar som
den skall, dvs paket från localhost tunnlas till webservern.
Jag tänker mig dock att man kanske kan lösa frågan genom att ange
macadress istället för ipadress i brandväggsskriptet, men jag vet inte
riktigt hur man anger macadresser..men det kanske du vet? Således
skulle man ha en regel som tillåter t.ex all trafik från en viss given
macadress...fast ännu bättre vore om jag kunde ordna så att när jag
etablerar en tunnel anges sourceip som det ipnummer jag skulle ha haft
om jag satt bakom brandväggen men vad jag kan förstå är det en teknisk
omöjlighet då alla responser hamnar fel..dvs inte når min maskin.
Rörigt det här eller hur :)
Det där med att obfuskera...det är inte så mycket frågan om det som att
ha ett intranet som är åtkomligt via internet men endast genom ssh
public-key förbindelse. Finns det lika säkra metoder så är jag inte
emot att använda dom bara jag vet hur.
2004-11-02 kl. 12.24 skrev Pontus Freyhult:
Thomas Nyman <[EMAIL PROTECTED]> writes:
Jag kom fram till genom följande;
sitter jag bakom brandväggen går det utmärkt att accessa sidan via ssh
tunnel, men sitter jag utanför brandväggen så går det inte. Om jag
däremot i mitt iptables script uttryckligen tillåter t.ex 1.2.3.4 att
accessa port x dvs dport x ja då går det bra utanför brandväggen.
Det låter ju verkligen inte som att du använder tunneln isåfall. Om du
kör tcpdump, ser du paket på de portarna ut från 1.2.3.4? In på
5.6.7.8? (det vore förmodligen också bra om du kunde visa din
kommandorad, sen är det alltid bra att inte obfuskera om man inte
verkligen behöver det).
/Pontus
--
Pontus Freyhult, see <URL:http://soua.net/> for more information.
