ssh weiterleiten

[choji]

Hallo zusammen,

ist es möglich eine SSH-Verbindung an einen anderen Rechner weiterzuleiten?
Mein Ziel ist es je nach User die SSH-Verbindung an einen anderen Rechner im LAN weiterzuleiten.
Meine aktuelle, aber nicht optimale Lösung ist, den jeweiligen Usern mittels eines Skripts eine weitere SSH-Verbindung zu dem dafür vorgesehenen Server aufbauen zu lassen. Um eine doppelte Passwortabfrage zu verhindern, nutze ich für diese Verbindung eine Authentifizierung mittels Keys.
Nachteil hierbei ist allerdings, dass man mit Programmen wie WinSCP etc. keine Verbindung zu dem gewünschten Server aufgebaut kann.

Gibt es für genau diese Art von Problem vielleicht eine elegantere Methode?

Danke und Gruß

choji

[Babelduo]

Mein Ziel ist es je nach User die SSH-Verbindung an einen anderen Rechner im LAN weiterzuleiten.

eine möglichkeit wäre vieleicht verschiedene ports zu benutzten

wenn eine anfrage auf local:1234 kommt - wird an rechner ...1:22 weitergeleitet
wenn eine anfrage auf local:1235 kommt - wird an rechner ...2:22 weitergeleitet

Babel

[choji]

Hmm ja daran habe ich auch schon gedacht.. möchte dies allerdings nur als letzten Schritt in betracht ziehen.

Könnte mir bei der Lösung meines Problems evtl. agent Forwarding von ssh helfen?!?

Gruß choji

[badera]

Etwas alt, dieser Thread, aber ich habe genau denselben Wunsch:
Ich möchte auf Grund des Users, der sich anmelden will (oder auf Grund des Schlüssels) die SSH Verbindung entweder auf dem konektierten Host aufbauen oder aber auf einen anderen Host weiterleiten.
Dabei kann ich die vorgeschlagene Lösung mit unterschiedlichen Ports nicht verwenden, da der SSH-Server auf Port 443 laufen muss (damit ich aus Firmennetzen mit Firewall über Port 443 (HTTPS) transparent verbinden kann...)

Kennt jemand eine Lösung dafür? - Besten Dank!
- Adrian

[Mictlan]

hilft dir das weiter?
http://tcpswitch.sourceforge.net/

das switcht anhand von dem remote host und nicht vom user aus... bringt dir das was oder muss es am user liegen ?

[badera]

Besten Dank für den Tipp.
Ist auch eine interessante Variante; funktioniert bei mir leider nicht, da die Clients dynamische IP-Adressen haben.
Ich brauche die Weiterleitung auf User-Ebene.

[Mictlan]

dann nehm ich mal an du brauchst irgendeine art ssh proxy der zuerst den usernamen entgegennimmt (dessen übermittlung aber schon verschlüsselt erfolt) und dann anhand von dem user eine verbindung zu dem anderen server aufbaut der wieder einen anderen schlüssel für die verschlüsselung verwendet..... das klingt nach etwas das verdammt schwer zu lösen sein wird....

[badera]

Genau das sollte ich haben. Gibts das nicht? Unmöglich ist es ja ansich nicht, es müsste es einfach geben - oder man müsste es machen...
Vielleicht kann ja noch jemand weiterhelfen.

[Mictlan]

ich glaub das musst da selber schreiben.... google hat dazu nix ausgespuckt....

[badera]

ja, das befürchte ich auch...
Danke trotzdem!

[chris.vo]

Hallo

So, wie ich das verstehe hatte ich Dein problem kürzlich auch noch. Ich habe einfach im meinem Firewall-Script eine Portweiterleitung gemacht. Ich komme auf meinem GW1 auf Port 26 rein und leite diesen dann weiter auf den FS1 im Intranet auf Port 22.

Im Scrpit auf Deinem Gateway hinzufügen
---------------------------------------------------

UPLINK="eth1" # Netzwerkschnittstelle mit Internetanschluss
SRV1ROUTING="192.168.0.201" # Fileserver / Zielrechner

iptables -t nat -A PREROUTING -p tcp --dport 26 -i ${UPLINK} -j DNAT --to ${SRV1ROUTING}:22

Ich kann somit direkt vom Internet mittels WinSCP auf meinem GW1 sowie auf meinem FS1 einloggen.

Gruss Chris

[Mictlan]

er will aber dass anhand von dem user der sich einloggen will entschieden wird auf welchen rechner es geht. der öffentliche port soll IMMER 22 sein egal für welchen rechner....