Firewall (Firestarter) ssh-Problem

Night.Hawk · Beitrag von **Night.Hawk** » 14.10.2005 10:50:10

Hallo Leute,

habe hier folgendes kleines Problem:

Ich möchte über meinen Rechner (Home) auf einen Server (Office) zugreifen, der meinen Zugriff dann auf einen Fileserver (File) weiterleitet.

Server Office ist wie folgt konfiguriert:

etho => internes Netzt mit 172.16.xxx.xxx

eth1 => Internet über ppp0 (DSL-Modem), dyndns ist eingerichtet.
IP 192.168.xxx.xxx

Welche iptables regel(n) muß ich nun generieren, damit ich direkt auf den Fileserver zugreifen kann.

In der Firewall die mit Firestarter erstellt wurde, ist der Zugriff von Außen erlaubt, SSH auf port 22 ist erlaubt. Ebenso habe ich die Weiterleitung zum Fileserver erstellt.

Wenn ich nun mit ssh versuche auf den Rechner zuzugreifen, bleibt der Verbindungsaufbau hier hängen:

Code: Alles auswählen

debug2: ssh_connect: needpriv 0
debug1: Connecting to Office [xxx.xxx.xxx.xxx] port 22

Ich komme leider nicht weiter. Habt Ihr eine Idee?

Danke und Gruß

Night.Hawk

nil · Beitrag von **nil** » 14.10.2005 11:03:24

Hi,

generell sind es ja 3 Rechner:

- Client im Internet
- Server per dyndns
- Fileserver

- Client benutzt welches Betriebssystem?
- Fileserver auf welcher Basis (Samba)?

Wenn ich das richtig sehe, benötigst Du ein einfaches SSH-Forwarding, dafür stelle erst mal folgendes sicher:

1.) Zugriff über SSH vom Cliient zum dyndns-Server funktioniert
2.) SSHD auf dyndns erlaubt SSH-Forwarding (/etc/ssh/sshd_config)
2.) Fileserverport ist vom dyndns-Server erreichbar (nc oder ähnliches zum Testen)

Nun baust Du dir einen Tunnel:

Client ist Windows:
Putty/Mindterm, SSH-Zugriff auf dnydns-Server, Portforwarding Fileserver:Port, den Port lokal nutzen

Client ist Linux:
ssh -L clientport:filserverip:fileserverport dyndnsrechner

und dann den Fileserver als localhost:clientport nutzen, im Normalfall ist clientport = fileserverport?

In beiden Fällen ist Benutzername/Kennwort einzugeben, alternativ können auch SSH-Keys ausgetauscht werden.
Alternativ kann man auch eine VPN-Lösung bauen und den ganzen Rechner bekannt machen.

Night.Hawk · Beitrag von **Night.Hawk** » 14.10.2005 11:18:28

Eine Frage zu ssh-Forwarding

ähmm erstmal Danke für die schnelle Antwort

also, meinst du die Option X11Forwarding? Oder gibt es noch eine? Habe in der Config auf dem Server keine weitere gefunden.

Gruß

Night.Hawk

nil · Beitrag von **nil** » 14.10.2005 11:29:20

nein, X11 ist nur für Grafik. Aber generell sollte SSH-Forwarding aktiviert sein, es sei denn Du hast in sshd_config schon mal editiert. Es ist nur eine Grundvoraussetzung.

Night.Hawk · Beitrag von **Night.Hawk** » 14.10.2005 11:31:26

OK. Danke.

Leider klappt es nicht. ssh bleibt wieder an der gleichen Stelle hängen...

Trotztdem erstmal Danke.

Gruß

Night.Hawk

nil · Beitrag von **nil** » 14.10.2005 11:51:29

kappt denn schon der Zugriff vom "Client" zum dyndns-Server mit "normalen" SSH nicht?

Night.Hawk · Beitrag von **Night.Hawk** » 14.10.2005 11:57:35

Jetzt nicht mehr...

habe leider jetzt erst bemerkt, das ich in der ddclient.conf eine falsche Einstellung hinterlegt habe. Als er jetzt die neue ip an dnydns schicken wollte, ging nichts mehr...schöner Mist.

Nun kann ich erst am Montag weiter testen!

Danke für die Hilfe und schönes Wochenende.

Gruß

Night.Hawk

Night.Hawk · Beitrag von **Night.Hawk** » 14.10.2005 14:16:59

SO, jetzt klappt es wieder! ssh auf der Konsole zu Server. Die Weiterleitung haut aber leider immer noch nicht hin.

Gruß

Night.Hawk

Night.Hawk · Beitrag von **Night.Hawk** » 14.10.2005 14:41:26

Habe jetzt versucht mit ssh -L port:Fileserver:port server auf den Fileserver zuzugreifen.

Code: Alles auswählen

ssh -L 2222:Fileserver:22 Server -l root -vv

Lande aber immer auf dem Server, wo ich mich mit dem entsprechenden Passwort auch einloggen kann. Nachstehend die letzten Meldungen:

Code: Alles auswählen

debug1: Authentication succeeded (keyboard-interactive).
debug1: Connections to local port 2222 forwarded to remote address Fileserver:2222
debug1: Local forwarding listening on 127.0.0.1 port 2222.
debug1: channel 0: new [port listener]
socket: Address family not supported by protocol
debug1: channel 1: new [client-session]
debug1: Entering interactive session.

nil · Beitrag von **nil** » 17.10.2005 08:06:13

Lande aber immer auf dem Server, wo ich mich mit dem entsprechenden Passwort auch einloggen kann. Nachstehend die letzten Meldungen:

Das ist doch schon mal ganz gut. Ist normal, dass Du auf dem Server landest und Dich anmelden musst.
Das Ende des Tunnels (2222:Fileserver:22, die letzte 22 musst Du durch den Port des Fileservers ersetzen, nutzt Du Samba) und dann kannst Du am Client mit localhost:port auf den Fileserver zugreifen.

Night.Hawk · Beitrag von **Night.Hawk** » 17.10.2005 12:20:43

Hallo Nil,

danke für die Antwort.

Werde es sobald versuchen, wenn dieser blöde ddclient die IP des Servers an dyndns weiter meldet. Im moment klappt das nur beim Start der Kiste. Ne Änderung der IP wird nicht übermittelt, obwohl alle Einstellungen richtig sind...

Habe hier zuhause das gleiche laufen und da klappt es wunderbar...

Ja, ja, Computer sind halt auch nur Menschen mit schlechten Tagen

Gruß

Night.Hawk

Night.Hawk · Beitrag von **Night.Hawk** » 18.10.2005 14:58:18

So,

hat alles wunderbar geklappt. Kann jetzt über sftp auf den Fileserver zugreifen.

Es hätte schon früher geklappt, wenn auf dem Fileserver nicht jemand ne falsche Netzwerkadresse und nen falsches gateway eingetragen hätte.

Danke nochmal für Eure Hilfe.

Gruß

Night.Hawk