Hilfe
Neues Thema
Antworten
Hallo,
ich habe folgendes Problem
Arbeits-PC <----> mind. 3 Firewalls und Proxys <----> Internet <----> Router <---> Windows 2000
Ich komme von meinem Arbeits- PC nur auf den Ports 80 und 443 nach draussen (also ins Internet).
Das ist in sofern doof, weil ich zu Hause ua einen SSH- Server auf Port 22 am laufen habe. Alle Anfragen auf diesem Port werden auf eine Win2000 Maschine weitergeleitet.
Auf Arbeit hab ich eine feste, nicht veränderliche öffentliche IP- Adresse (zB 194.123.123.123 [diese IP ist Fiktiv!])
Ist es irgendwie möglich, dass ich alle Anfragen von der IP 194.123.123.123 auf Port 443 intern (also auf dem Win2000 Rechner) auf Port 22 umbiege?
Leider kann ich Port 80 und 443 bei mir zu Hause nicht für SSH nutzen, da schon ein http(s) Server mitläuft...
Seite 1 von 1
Ports Umbiegen
#1
TschiepTschiep 
geschrieben 27. Dezember 2005 - 15:35
Nach oben
#2
Graumagier
- Gruppe: aktive Mitglieder
- Beiträge: 8.811
- Beigetreten: 01. März 04
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Graz, Österreich
geschrieben 27. Dezember 2005 - 15:58
NAT?
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#3
puppet
- Gruppe: aktive Mitglieder
- Beiträge: 2.857
- Beigetreten: 27. April 04
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Rudoltown
geschrieben 27. Dezember 2005 - 16:14
Wie wäre es denn wenn du einfach in der EDV Abteilung deiner Firma nachfragst ob du auf Port 22 zu deinem Router nach Hause connecten darfst (wenn du zu Hause auch eine statische (öffentliche) IP hast ist das sicher kein Problem)?
Wenn alle Anfragen an externe Ports 80 und 443 wirlich über einen HTTP/HTTPS Proxy gehen wirst du auch nicht viel Glück haben einfach den SSH Service bei dir auf diesem Port laufen lassen zu haben (oder auf einem anderen Rechner im Internet der dann einfach zum Port 22 auf deinen Router forwardet), da musst du wirklich SSH über HTTP/HTTPS tunneln. Anleitungen zum Tunneln von SSH über HTTP findest du auf Google genug, z.B. hier.
Ansonsten bieten viele NAT-Schachteln die Möglichkeit beim Port-Forwarding eine External Source IP Address festzulegen, was bei dir ja sogar funktioniert, da du ja auf Arbeit eine statische öffentliche IP Adresse hast.
Wenn alle Anfragen an externe Ports 80 und 443 wirlich über einen HTTP/HTTPS Proxy gehen wirst du auch nicht viel Glück haben einfach den SSH Service bei dir auf diesem Port laufen lassen zu haben (oder auf einem anderen Rechner im Internet der dann einfach zum Port 22 auf deinen Router forwardet), da musst du wirklich SSH über HTTP/HTTPS tunneln. Anleitungen zum Tunneln von SSH über HTTP findest du auf Google genug, z.B. hier.
Ansonsten bieten viele NAT-Schachteln die Möglichkeit beim Port-Forwarding eine External Source IP Address festzulegen, was bei dir ja sogar funktioniert, da du ja auf Arbeit eine statische öffentliche IP Adresse hast.
Dieser Beitrag wurde von puppet bearbeitet: 27. Dezember 2005 - 16:17
#4
TschiepTschiep
geschrieben 27. Dezember 2005 - 16:52
Erstma danke für die schnellen Antworten...
Die connections in die EDV Abteilung habe ich zwar, jedoch keine Chance dass das gemacht wird (Öffentlicher Dienst mit tausend Leuten die was zu sagen haben)- von daher geht das leider nicht und ich brauch ne Backend- Lösung...
SSH auf Port 443 laufen lassen funktioniert im Notfall, ist aber halt keine Dauerlösung.
Das Tunneln mache ich im Moment über Putty und einen extra Server im Netz
ArbeitsPC --- SSH über Port 443 ---> Server im Netz -- Port 22 ----> Win 2000
Dieser fällt aber zum Jahresende und ich brauch halt ne Alternative..
@puppet: NAT- Schachteln?
Die connections in die EDV Abteilung habe ich zwar, jedoch keine Chance dass das gemacht wird (Öffentlicher Dienst mit tausend Leuten die was zu sagen haben)- von daher geht das leider nicht und ich brauch ne Backend- Lösung...
SSH auf Port 443 laufen lassen funktioniert im Notfall, ist aber halt keine Dauerlösung.
Das Tunneln mache ich im Moment über Putty und einen extra Server im Netz
ArbeitsPC --- SSH über Port 443 ---> Server im Netz -- Port 22 ----> Win 2000
Dieser fällt aber zum Jahresende und ich brauch halt ne Alternative..
@puppet: NAT- Schachteln?
Dieser Beitrag wurde von TschiepTschiep bearbeitet: 27. Dezember 2005 - 16:53
#5
puppet
- Gruppe: aktive Mitglieder
- Beiträge: 2.857
- Beigetreten: 27. April 04
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Rudoltown
geschrieben 27. Dezember 2005 - 17:08
Naja wie gesagt dann Tunnele SSH doch über HTTP/HTTPS oder mache es per NAT/Port Forwarding.
Mit NAT Schachtel meinte ich Router, weil es bei den meisten (Home-)Routern schon bei NAT und RIP aufhört, deshalb halt NAT-Schachtel. Hast du denn schonmal geschaut ob dein Router im Port Forwarding/NAT/Virtual Server/whatever-Menü eine Einstellmöglichkeit für External Source Address hat? Selbst m0n0 kann dies ja:
Mit NAT Schachtel meinte ich Router, weil es bei den meisten (Home-)Routern schon bei NAT und RIP aufhört, deshalb halt NAT-Schachtel. Hast du denn schonmal geschaut ob dein Router im Port Forwarding/NAT/Virtual Server/whatever-Menü eine Einstellmöglichkeit für External Source Address hat? Selbst m0n0 kann dies ja:
Dieser Beitrag wurde von puppet bearbeitet: 27. Dezember 2005 - 17:10
#6
TschiepTschiep
geschrieben 28. Dezember 2005 - 09:43
Nein, sowas kann mein Böxchen nicht.. :-(
Frage zu Monowall.
Hab mir das mal angeschaut und scheint recht näckisch zu sein- leider kann ich mir keine extra Kiste dafür hinstellen.. :-(
Noch jmd ne Idee?
Frage zu Monowall.
Hab mir das mal angeschaut und scheint recht näckisch zu sein- leider kann ich mir keine extra Kiste dafür hinstellen.. :-(
Noch jmd ne Idee?
#7
puppet
- Gruppe: aktive Mitglieder
- Beiträge: 2.857
- Beigetreten: 27. April 04
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Rudoltown
geschrieben 28. Dezember 2005 - 10:43
Naja dann werf doch deinen Router weg und stell dir m0n0wall dafür hin.
Falls dein Router mit IOS läuft ist das auch kein Problem, einfach im Global Config Mode ip nat inside source static tcp 192.168.1.20 22 194.123.123.123 443 eingeben, wobei 192.168.1.20 der WIN2K Rechner wäre. Im übrigen kann das o.g. sogar SmoothWall/IPCop.
Was hast du denn eigentlich für einen Router? Doch nicht etwa nur eine 10€-Baumarkt/Discounter-NAT Schachtel?
Wie schaut es denn mit tunneln aus? Vielleicht benötigst du gar keine weitere Config deines HTTPS Servers oder einen zweiten Server im Internet dafür. Viele Leute konfiguieren die Firewall zwar so, dass diese nur auf Ports 80 und 443 (eigentlich schonmal mit nmap -sA -p 1-65535 srv3.sfld.mediaWays.net geschaut ob nicht doch noch etwas auf/UNfiltered ist?) über einen Proxy raus lässt, vergessen jedoch meist am HTTPS Proxy zu sagen, dass dieser nur zu "WebServern" verbinden darf, die auch auf Port 443 laufen. Also könntest du das ganze ja mal mit proxytunnel probieren:
$ ./proxytunnel-linux-i386 -a LOCALPORT -g HTTPSPROXY -G HTTPSPROXYPORT -d REMOTESERVER -D REMOTEPORT
Beispiel:
$ ./proxytunnel-linux-i386 -a 8888 -g proxy.firma.local -G 443 -d home.dyndns.org -D 22
$ ssh -p 8888 localhost
Dies stand übrigens ganz unten auf der Seite die ich zuerst gepostet habe.
Ansonsten kannst du dir ja irgendwo einen Shell mieten und das ganze (weiter?) mit htc und hts machen.
Du könntest dir ja auch zu Hause einen neuen Provider suchen, der dir mehr als 1 öffentliche IP Adresse zuteilt (wenn dein Router überhaupt damit klar kommen würde
).
Falls dein Router mit IOS läuft ist das auch kein Problem, einfach im Global Config Mode ip nat inside source static tcp 192.168.1.20 22 194.123.123.123 443 eingeben, wobei 192.168.1.20 der WIN2K Rechner wäre. Im übrigen kann das o.g. sogar SmoothWall/IPCop.
Was hast du denn eigentlich für einen Router? Doch nicht etwa nur eine 10€-Baumarkt/Discounter-NAT Schachtel?
Wie schaut es denn mit tunneln aus? Vielleicht benötigst du gar keine weitere Config deines HTTPS Servers oder einen zweiten Server im Internet dafür. Viele Leute konfiguieren die Firewall zwar so, dass diese nur auf Ports 80 und 443 (eigentlich schonmal mit nmap -sA -p 1-65535 srv3.sfld.mediaWays.net geschaut ob nicht doch noch etwas auf/UNfiltered ist?) über einen Proxy raus lässt, vergessen jedoch meist am HTTPS Proxy zu sagen, dass dieser nur zu "WebServern" verbinden darf, die auch auf Port 443 laufen. Also könntest du das ganze ja mal mit proxytunnel probieren:
$ ./proxytunnel-linux-i386 -a LOCALPORT -g HTTPSPROXY -G HTTPSPROXYPORT -d REMOTESERVER -D REMOTEPORT
Beispiel:
$ ./proxytunnel-linux-i386 -a 8888 -g proxy.firma.local -G 443 -d home.dyndns.org -D 22
$ ssh -p 8888 localhost
Dies stand übrigens ganz unten auf der Seite die ich zuerst gepostet habe.
Ansonsten kannst du dir ja irgendwo einen Shell mieten und das ganze (weiter?) mit htc und hts machen.
Du könntest dir ja auch zu Hause einen neuen Provider suchen, der dir mehr als 1 öffentliche IP Adresse zuteilt (wenn dein Router überhaupt damit klar kommen würde
).
Dieser Beitrag wurde von puppet bearbeitet: 28. Dezember 2005 - 11:50
Thema verteilen:
Seite 1 von 1