Re: ssh-tunnel och brandväggsregler
Hej, externa maskinen heter extern med ip nummer 1.2.3.4 webservern heter server och har två nätverkskort dels 192.168.10.1 och dels 5.6.7.8 den senare (5.6.7.8) är ett fast ip ut mot internet. brandväggen på server tillåter omvärlden att ansluta till port 80 för www anslutningar och till port 21 för ssh men inget annat. webservern har en virtual alias som apache lyssnar till på port 3000. när extern upprättar en tunnel så är det inget problem..men när webläsaren på extern försöker ansluta till localhost:4000 och tunnlas till port 3000 på servern kommer brandväggen att sätta stop för det. Man kan visserligen lösa problemet genom att göra en accept regel för just ip nr 1.2.3.4 men då måste man göra det för varje nytt ip nummer. Jag skulle vilja ha en lösning där det spelar ingen roll vad mitt ipnr utan avgörande för om trafiken tillåts är om jag kan identifiera mig genom ssh tunneln. Hur har du kommit fram till att en sådan extraregel behövs? Trafiken till webbservern borde komma antingen från 5.6.7.8, 127.0.0.1 eller 192.168.10.1 (lite beroende på slumpen och hur du sätter upp din ssh-tunnel, dvs vad du anger för namn/adress med -L). /Pontus -- Pontus Freyhult, see URL:http://soua.net/ for more information.
Re: ssh-tunnel och brandväggsregler
Thomas Nyman [EMAIL PROTECTED] writes: Jag kom fram till genom följande; sitter jag bakom brandväggen går det utmärkt att accessa sidan via ssh tunnel, men sitter jag utanför brandväggen så går det inte. Om jag däremot i mitt iptables script uttryckligen tillåter t.ex 1.2.3.4 att accessa port x dvs dport x ja då går det bra utanför brandväggen. Det låter ju verkligen inte som att du använder tunneln isåfall. Om du kör tcpdump, ser du paket på de portarna ut från 1.2.3.4? In på 5.6.7.8? (det vore förmodligen också bra om du kunde visa din kommandorad, sen är det alltid bra att inte obfuskera om man inte verkligen behöver det). /Pontus -- Pontus Freyhult, see URL:http://soua.net/ for more information.
Re: ssh-tunnel och brandväggsregler
Hej kommandoraden är ssh -i identititet -L 8080:webserver.com:4 [EMAIL PROTECTED] Jag har ingen tcpdump att skicka just nu, men jag har kontrollerat det hela och tunneln är etablerad. Om jag t.ex befinner mig på en plats som använder masquerading där alla lokala maskiner har ip inom intervallet 192.168.10.11-192.168.10.15 och jag läger till dessa ip i min hosts fil samt i mitt brandväggs skript så fungerar tunneln från externt håll. Av detta kan jag dra slutsatsen att tunneln är etablerad och fungerar som den skall, dvs paket från localhost tunnlas till webservern. Jag tänker mig dock att man kanske kan lösa frågan genom att ange macadress istället för ipadress i brandväggsskriptet, men jag vet inte riktigt hur man anger macadresser..men det kanske du vet? Således skulle man ha en regel som tillåter t.ex all trafik från en viss given macadress...fast ännu bättre vore om jag kunde ordna så att när jag etablerar en tunnel anges sourceip som det ipnummer jag skulle ha haft om jag satt bakom brandväggen men vad jag kan förstå är det en teknisk omöjlighet då alla responser hamnar fel..dvs inte når min maskin. Rörigt det här eller hur :) Det där med att obfuskera...det är inte så mycket frågan om det som att ha ett intranet som är åtkomligt via internet men endast genom ssh public-key förbindelse. Finns det lika säkra metoder så är jag inte emot att använda dom bara jag vet hur. 2004-11-02 kl. 12.24 skrev Pontus Freyhult: Thomas Nyman [EMAIL PROTECTED] writes: Jag kom fram till genom följande; sitter jag bakom brandväggen går det utmärkt att accessa sidan via ssh tunnel, men sitter jag utanför brandväggen så går det inte. Om jag däremot i mitt iptables script uttryckligen tillåter t.ex 1.2.3.4 att accessa port x dvs dport x ja då går det bra utanför brandväggen. Det låter ju verkligen inte som att du använder tunneln isåfall. Om du kör tcpdump, ser du paket på de portarna ut från 1.2.3.4? In på 5.6.7.8? (det vore förmodligen också bra om du kunde visa din kommandorad, sen är det alltid bra att inte obfuskera om man inte verkligen behöver det). /Pontus -- Pontus Freyhult, see URL:http://soua.net/ for more information.
Re: ssh-tunnel och brandväggsregler
Thomas Nyman [EMAIL PROTECTED] writes: kommandoraden är ssh -i identititet -L 8080:webserver.com:4 [EMAIL PROTECTED] Ser ju okej ut. Jag har ingen tcpdump att skicka just nu, men jag har kontrollerat det hela och tunneln är etablerad. Om jag t.ex befinner mig på en plats som använder masquerading där alla lokala maskiner har ip inom intervallet 192.168.10.11-192.168.10.15 och jag läger till dessa ip i min hosts fil samt i mitt brandväggs skript så fungerar tunneln från externt håll. Av detta kan jag dra slutsatsen att tunneln är etablerad och fungerar som den skall, dvs paket från localhost tunnlas till webservern. Va? Var står webbservern i det här fallet? Hur gör du förresten för att ansluta? Använder du telnet eller en webbläsare eller vad? Kan du visa kommandoraden/URLen? Sen kan du gärna beskriva fungerar inte lite tydligare - hänger den och ger upp efter ett tag eller gör den något annat? Jag tänker mig dock att man kanske kan lösa frågan genom att ange macadress istället för ipadress i brandväggsskriptet, men jag vet inte riktigt hur man anger macadresser..men det kanske du vet? Således skulle man ha en regel som tillåter t.ex all trafik från en viss given macadress... Det går nog inte, det vill säga filtrera på MAC går, men inte i ditt fall (sök på mac i man iptables). (För webbservern kördes väl på samma burk som ändpunkten terminerade i?) fast ännu bättre vore om jag kunde ordna så att när jag etablerar en tunnel anges sourceip som det ipnummer jag skulle ha haft om jag satt bakom brandväggen men vad jag kan förstå är det en teknisk omöjlighet då alla responser hamnar fel..dvs inte når min maskin. ? Anslutningen kommer från någon adress hos den dator som ssh-anslutningen termineras i. Det där med att obfuskera...det är inte så mycket frågan om det som att ha ett intranet som är åtkomligt via internet men endast genom ssh public-key förbindelse. Finns det lika säkra metoder så är jag inte emot att använda dom bara jag vet hur. Obfuskering syftar snarare på de IP-adresser och namn du använder, eftersom jag tvivlar på att du verkligen har adresserna 1.2.3.4 (eller domänen webserver.com). Det bygger ju på att du har förmåga att avgöra vad som är viktig information och inte, vilket ofta är samma förmåga som behövs för att kunna lösa problemet utan hjälp från början. /Pontus -- Pontus Freyhult, see URL:http://soua.net/ for more information.
Re: Re: ssh-tunnel och brandväggsregler
Hej Skall se om jag forstar dig korrekt, men ar inte problemet just webserver.com? Ar det inte ssh -L 8080:localhost:5000 [EMAIL PROTECTED] allternativt ssh -L 8080:192.168.10.15:5000 [EMAIL PROTECTED] Du behover nog ocksa tillata localhost alternativt webserver.com att komma at den interna adressen i iptables ssh -L 8080:webserver.com:5000 [EMAIL PROTECTED] ger dig en tunnel mellan port 8080:extern ip 5000:extern ip / Patrik On Tue, 2 Nov 2004, Thomas Nyman wrote: Hej kommandoraden ?r ssh -i identititet -L 8080:webserver.com:4 [EMAIL PROTECTED] Jag har ingen tcpdump att skicka just nu, men jag har kontrollerat det hela och tunneln ?r etablerad. Om jag t.ex befinner mig p? en plats som anv?nder masquerading d?r alla lokala maskiner har ip inom intervallet 192.168.10.11-192.168.10.15 och jag l?ger till dessa ip i min hosts fil samt i mitt brandv?ggs skript s? fungerar tunneln fr?n externt h?ll. Av detta kan jag dra slutsatsen att tunneln ?r etablerad och fungerar som den skall, dvs paket fr?n localhost tunnlas till webservern. Jag t?nker mig dock att man kanske kan l?sa fr?gan genom att ange macadress ist?llet f?r ipadress i brandv?ggsskriptet, men jag vet inte riktigt hur man anger macadresser..men det kanske du vet? S?ledes skulle man ha en regel som till?ter t.ex all trafik fr?n en viss given macadress...fast ?nnu b?ttre vore om jag kunde ordna s? att n?r jag etablerar en tunnel anges sourceip som det ipnummer jag skulle ha haft om jag satt bakom brandv?ggen men vad jag kan f?rst? ?r det en teknisk om?jlighet d? alla responser hamnar fel..dvs inte n?r min maskin. R?rigt det h?r eller hur :) Det d?r med att obfuskera...det ?r inte s? mycket fr?gan om det som att ha ett intranet som ?r ?tkomligt via internet men endast genom ssh public-key f?rbindelse. Finns det lika s?kra metoder s? ?r jag inte emot att anv?nda dom bara jag vet hur. 2004-11-02 kl. 12.24 skrev Pontus Freyhult: Thomas Nyman [EMAIL PROTECTED] writes: Jag kom fram till genom f?ljande; sitter jag bakom brandv?ggen g?r det utm?rkt att accessa sidan via ssh tunnel, men sitter jag utanf?r brandv?ggen s? g?r det inte. Om jag d?remot i mitt iptables script uttryckligen till?ter t.ex 1.2.3.4 att accessa port x dvs dport x ja d? g?r det bra utanf?r brandv?ggen. Det l?ter ju verkligen inte som att du anv?nder tunneln is?fall. Om du k?r tcpdump, ser du paket p? de portarna ut fr?n 1.2.3.4? In p? 5.6.7.8? (det vore f?rmodligen ocks? bra om du kunde visa din kommandorad, sen ?r det alltid bra att inte obfuskera om man inte verkligen beh?ver det). /Pontus -- Pontus Freyhult, see URL:http://soua.net/ for more information.
Re: ssh-tunnel och brandväggsregler
Thomas Nyman skrev: Jag skall kolla lite mer och även testa dina förslag...men -g växeln har väl ingen inverkan på problemet. Det stämmer. Det enda som -g tillför är att andra också kan komma in i tunneln och inte bara din egen laptop. En fråga bara - varför tycker du 127.0.0.1 är bättre än 192.168.1.1..vad är fördelen med 127.0.0.1 jämfört med annan adress? 1) Det framgår tydligt i din webserverkonfiguration att denna virtual host är ett specialfall. 2) Eventuellt behöver du inga extra brandväggsregler. Du tillåter förmodligen redan kommunikation från localhost till localhost. 3) Om du nån gång skulle byta ipadress på servern behöver är det en grej mindre att tänka på. Trevlig kväll! /Martin Leben, loggar av. -- Remove dashes and numbers (if any) to get my real email address. I subscribe to the mailing lists i write to. Please don't CC me on replies.
Re: ssh-tunnel och brandväggsregler
Thomas Nyman skrev: Genom valfri extern maskin ssh:a till min webserver/brandvägg (debian sarge) och där komma till en viss bestämd port på det lokala interfacet, dvs komma till t.ex. 192.168.1.1:5000 där då werbservern lyssnar för ett speciellt virtual host avsnitt. Det låter krångligt. Varför inte localhost:5000 istället? Då behöver du bara tillåta anslutningar till denna port från localhost. Själv använder jag Shorewall som brandvägg, så jag kan inte ge dig någon vägledning på hur du ska göra. [...] Mitt problem är (såvitt jag kan lista ut) att när man skickar en http förfrågan via en ssh tunnel så anges sourceport fortfarande men det externa ipnumret. Först trodde jag att när man gick via en ssh tunnel så blev den vidarebefordrat förfrågan en lokal förfrågan dvs att det skedde en omvandling på sshd men där misstog jag mig. Jag förstår inte riktigt vad du menar, men jag tycker att det verkar som om förfrågan inte alls går genom tunneln. Du kan förmoligen bekräfta det genom att sniffa lite med tethereal eller tcpdump på din brandvägg. /Martin Leben -- Remove dashes and numbers (if any) to get my real email address. I subscribe to the mailing lists i write to. Please don't CC me on replies.
ssh-tunnel och brandväggsregler
Hej Jag skulle vilja åstadkomma följande. Genom valfri extern maskin ssh:a till min webserver/brandvägg (debian sarge) och där komma till en viss bestämd port på det lokala interfacet, dvs komma till t.ex. 192.168.1.1:5000 där då werbservern lyssnar för ett speciellt virtual host avsnitt. Brandväggen tillåter dock inte att externa ipnummer kopplar upp sig mot vare sig den aktuella porten eller mot 192.168.1.1. Det är också de som är hela poängen..min tanke är att man bara ska kunna komma åt den här sidan genom en krypterad ssh tunnel. Mitt problem är (såvitt jag kan lista ut) att när man skickar en http förfrågan via en ssh tunnel så anges sourceport fortfarande men det externa ipnumret. Först trodde jag att när man gick via en ssh tunnel så blev den vidarebefordrat förfrågan en lokal förfrågan dvs att det skedde en omvandling på sshd men där misstog jag mig. Frågan är således om hur jag löser detta i iptables? Kan tänka mig att man kanske kan tillåta trafik från en viss mac adress eller om man kan på något sätt omvandla trafik via ssh port 21 till tillåten trafik i övrigt. Lite rörigt det här kanske, men hoppas någon har en bra ide. Thomas
