Hallo,
vorab: Ich frage erst mal, weil ich nicht so recht weiß, wonach ich suchen soll.
Folgendes Problem:
Ich hänge oft an Netzwerken, bei denen nur wenige Ports nach draußen frei sind (i.A. 21, 22, 80, 443 etc).
Ich möchte aber auf andere Ports zugreifen -> nein, damit meine ich nicht Emule und Co. aber z.B. liegt mein SQL und SSH Server auf einem anderen Port, um den generischen BruteForce Attacken zu entgehen. Zu dem liegen die Zielports nicht unbedingt nur auf meinem Server, sondern auch evtl. auf Drittservern.
Meine erste Idee war daher ein Proxy, der das evtl. machen könnte, aber momentan schwebt mir eher ein VPN vor. Also ich gehe in das VPN meines Servers und er fungiert als Gateway nach draußen ohne dieses doofe Portblocking.
Ich frage nicht, ob sowas geht - das tut es sicher. Kennt jemand ein gutes Tutorial, in dem die Einrichtung einer solchen Sache erklärt wird?
Tunnel mit Portmap
Re: Tunnel mit Portmap
Du kannst z.B. mit 
sslh auf dem Port 443 sowohl HTTPS (TLS/SL) als auch SSH per Protokol-Multiplexer betreiben. Könnte aber sein, dass dann über Port 443 einige Brute-Force-Angriffe gegen SSH eingehen. Aber bei ordentlichen Passwörtern, SSH-Keys oder OTP sollte das alles kein Problem sein. Leider weiß ich nicht wie zuverlässig sslh ist. Ich habe es lange nicht mehr probiert. Ich würde es eher zusätzlich für den Notfall nutzen und auch nur dann, wenn der SSL-Webserver nicht unter Dauerlast steht. Du solltest mindestens übergangsweise den SSH-Server auch auf einem anderen Port betreiben, um dir nicht selbst das Syste abzuschießen. Durch das SSH auf Port 443 solltest du dann alles tunneln können wie z.B. ein VPN auf SSH-Basis (ssh -p 443 -w ...) oder ein Proxy per Local-Port-Forwarding (ssh -p 443 -L ...). OpenVPN brauchst du nicht wirklich.
Und ja: Portblockierungen sind sinnlos solange man den Inhalt nicht filtert bzw. filtern kann.
sslh auf dem Port 443 sowohl HTTPS (TLS/SL) als auch SSH per Protokol-Multiplexer betreiben. Könnte aber sein, dass dann über Port 443 einige Brute-Force-Angriffe gegen SSH eingehen. Aber bei ordentlichen Passwörtern, SSH-Keys oder OTP sollte das alles kein Problem sein. Leider weiß ich nicht wie zuverlässig sslh ist. Ich habe es lange nicht mehr probiert. Ich würde es eher zusätzlich für den Notfall nutzen und auch nur dann, wenn der SSL-Webserver nicht unter Dauerlast steht. Du solltest mindestens übergangsweise den SSH-Server auch auf einem anderen Port betreiben, um dir nicht selbst das Syste abzuschießen. Durch das SSH auf Port 443 solltest du dann alles tunneln können wie z.B. ein VPN auf SSH-Basis (ssh -p 443 -w ...) oder ein Proxy per Local-Port-Forwarding (ssh -p 443 -L ...). OpenVPN brauchst du nicht wirklich.Und ja: Portblockierungen sind sinnlos solange man den Inhalt nicht filtert bzw. filtern kann.
Re: Tunnel mit Portmap
Ich wuerd's per SSH tunneln, in kurzDas stellt den MySQL-Port vom localhost des Servers (zweiter "localhost:3306") auf dem "lokalen localhost" des Clients (erster Ausdruck) bereit. MySQL sollte mangels Verschluesselung uebrigens nicht alleine quer durch's Netz geblasen werden.
Man kann auch mehrere -L-Argumente in einen SSH-Befehl packen und sich alle benoetigten Ports als Gesamtpaket hertunneln.
Gruss Cae
Code: Alles auswählen
$ ssh -L localhost:3306:localhost:3306 user@hostMan kann auch mehrere -L-Argumente in einen SSH-Befehl packen und sich alle benoetigten Ports als Gesamtpaket hertunneln.
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Tunnel mit Portmap
Naja dem kann man wohl auch TLS beibringen, ssh ist aber einfacher.MySQL sollte mangels Verschluesselung uebrigens nicht alleine quer durch's Netz geblasen werden.
Unix is user-friendly; it's just picky about who its friends are.
Re: Tunnel mit Portmap
Sind Apache2 und MySQL tatsächlich auf zwei unterschiedlichen Servern? Ist MySQL per 0.0.0.0:3306 bzw. alternativen Port aus dem Internet erreichbar? Normalerweise hostet man Apache2 und MySQL auf einen Server, Webserver per 0.0.0.0:80/443 über Internet erreichbar und dieser greift per 127.0.0.1:3306 nur lokal auf MySQL zu.