Hallo Robert, das Port-Sharing von HTTP und SSH ist kein großer Deal.
Das wichtige, was man verstanden haben muss, ist warum das Port-Sharing funktioniert: das Timing der Nachrichten. HTTP seine SSL-Variante senden sobald sie sich zu ihrem Port verbunden haben ihre Daten an den Server. SSH (und scp, was darauf aufsetzt) warten zuerst auf einem Begrüßung durch den Server. Unter Debian hast du zur Unterscheidung das Paket "sslh", dem in der Config-Datei der Port mitgegeben wird, auf dem er hört ( z.b. 443 ) und der Port des lokalen HTTPS-Servers ( den man z.B. auf 8443 umlegt oder nur auf 127.0.0.1 lauschen lässt) und den des anzusprechenden SSH-Servers. Solange aus dem lokalen Netzwerk der HTTPs-Server gut auf dem gewünschten Port zu erreichen ist, wird es relativ leicht. Meine Konfiguration sieht so aus, dass mein Router, der die WAN-Verbindung hält per Portforward den externen Port 443 auf den sslh-Server mit Port 8443 umlegt. Wenn sslh dann eine HTTPS-Verbindung vermutet, leitet es die Verbindung an localhost:443 um, im Falle einer SSH-Verbindung zu localhost:22. Damit kannst du die Konfiguration sowohl im internen wie auch im externen Netz verwenden. Wenn du noch ein paar konkrete Hilfen brauchst, ich habe inzwischen so ziemlich jeden Fall durch, den eine Firewall oder ein restriktiver Proxy erstellen können. Gruß Andre On Wed, Mar 02, 2011 at 03:33:31PM +0100, Robert wrote: > Konrad Rosenbaum schrieb: > > Ja. Installier das Apache Paket fuer SSL, das erzeugt normalerweise auch > > gleich den noetigen Key. Ein teures Zertifikat brauchst Du fuer Deinen > > Anwendungsfall nicht. > SVN läuft jetzt. Aber eben noch komplett für jeden einsehbar über den > weblink. das SSL probier ich dann mal. ... > > > > Akzeptiert die FW noch andere Ports? 8080, 74? Nimm einen von denen fuer > > SSH. > Nein. Nur 80 und 443. Und das wird das Problem werden. Und ja, ich muss > oft von hinter dieser FW auf den Server: SCP, SSH, http und halt jetzt > noch SSL (wenn ich das richtig verstanden haben. Ich bin in diesem > Protokolldjschungel nicht so fit) > > > Ansonsten gibt es Weichen, die Port 443 zwischen HTTPS und SSH teilen > > koennen. Ich selbst habe aber noch nie sowas aufgesetzt. > > > Ja, mit diesem Tunnelkrempel hab ich mir mal eine halbe Woche versaut. > War froh das ich mein SCP auf 443 umstellen konnte der zufällig noch > offen ist. Das will ich nicht nochmal durchmachen. :) > > beste Grüße > > _______________________________________________ > Lug-dd maillist - [email protected] > https://ssl.schlittermann.de/mailman/listinfo/lug-dd -- Andre Klärner Telefon: 0351/32371206 Mobil: 0172/9838653 Anschrift: Prohliser Allee 43 01239 Dresden Diese E-Mail ist mittels S/MIME signiert worden. Für S/MIME sind die Root-Zertifiakate der CAcert.org zu installieren (unter http://www.cacert.org/index.php?id=3 zu finden), damit mein Zertifikat als vertrauenswürdig eingestuft wird. CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen Sie bitte doppelt die Korrektheit dieser Mail.
smime.p7s
Description: S/MIME cryptographic signature
_______________________________________________ Lug-dd maillist - [email protected] https://ssl.schlittermann.de/mailman/listinfo/lug-dd
