hallo,
ich hab nen VNC-Server der soweit auch ganz gut auf der 5901 läuft. nun will ich aber von einem PC auf den server zugreifen, der hinter ner recht guten firewall sitzt, das is der port natürlich gesperrt. am besten wäre es wenn ich ihn auf die 3389 (Windows-Remote) legen könnte.
Im router bei den Virtual Servern hab ich bereits eingestellt das der Private 5901 auf den Public 3389 gelegt wird, geht aber nich. der Verbindet sich nur wenn Privat und Public port identisch sind. mit ssh hab ichs auch versucht, aber ersten bin ich zu dumm um damit den port vernünftig zu tunneln und 2. solltes nich unbedingt noch langsamer werden, DSL 1000 reicht da schon als bremse.
Meine Frage also, kann mir irgendjemand verraten wie ich durch den Viewer mit dem port 3389 auf meinen server port 5901 komme? (vielleicht kann man den server auch gleich auf nem andern port starten? )
MFG
trallalalala
VNC-port tunneln
Wie willst du wissen ob die Firewall recht gut ist, wenn du einfach ein paar Möglichkeiten aufzählst ohne zu verifizieren, ob die Firewall es erlaubt. Bei der Firewall und dem Netz musst du ansetzen.der hinter ner recht guten firewall sitzt,
Ein paar Fragen:
- hasst du interne/externe IPs beim Client?
- ist NAT (Adressusetzung) aktiviert
- welche Kommunikationen sind direkt erlaubt (z.B. SSH, versuche TELNET zu Ports)
- wird ein Proxy erzwungen für Internetzugriffe
-
trallalala
- Beiträge: 10
- Registriert: 05.12.2005 23:13:20
dummerweise is das ja nicht meine firewall, deswegen kann ich auch nichts genaues dazu sagen. und ich schätz mal über portscan o.Ä. wäre der zuständige admin auch nicht grad glücklich. das einzige was ich weiß ist wie gesagt das man über den 3389-port nach draußen kommt, ich nehme stark an TCP.
Der Client liegt hinter nem router, bei dem ich die portumleitung für die 5901 eingeschalten hab (public-private). ich hab auch versucht den publicport 3389 auf die 5901 zu legen, klappt aber nicht. also verbindungsfehler
Der Client liegt hinter nem router, bei dem ich die portumleitung für die 5901 eingeschalten hab (public-private). ich hab auch versucht den publicport 3389 auf die 5901 zu legen, klappt aber nicht. also verbindungsfehler
Ich würde auf den entsprechenden Ports z.B. mal SSHD starten:
starten und dann mal versuchen mit
darauf zu gehen, es sollte eine Meldung vom SSHD erscheinen.
Nach diesem Test weisst du sicher, dass die Ports auch erreichbar sind. Anschließend kannst du die Port immer noch umleiten oder direkt durch SSH tunneln.
Code: Alles auswählen
sshd -p portnummer
Code: Alles auswählen
telnet server portnummer
Code: Alles auswählen
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
-
trallalala
- Beiträge: 10
- Registriert: 05.12.2005 23:13:20
so böse kann sie ja dann nicht sein, wenn sie Routing bzw. NAT erlaubt. Eine böse Firewall erlaubt kein Routing oder NAT, alle nutzen interne IPs und die Anwendungen werden über Application-Level-Gateways auf Anwendungsebene durchgeführt. Zusätzlich wird pro Anwendung der richtige Port als Ziel verlangt. Firewalls sichern das noch weiter ab.klappt übrigens hervorragend, auch durch böse firewalls durch
Leider hilft das alles nicht, wenn man z.B.:
1.) beim HTTP-Proxy die HTTPS-Kommunikationen nicht scannt (geht ja auch nicht)
2.) zwar HTTPS nur für Port 443 erlaubt, aber nicht alle Zielsysteme im Internet überprüfen kann
3.) der gemeine Angreifer seinen SSHD auf Port 443 nutzt und dann sconnect.c, mindterm oder putty als ssh-Client mit Proxy-Unterstützung einsetzt
Und wenn dieser Tunnel erst mal gegraben ist, dann ist es nicht mehr schwer, sich jedes TCP-Protokoll über den Proxy und SSH zu forwarden (POP3, SMTP, X11, ICQ, ...) Auch kann man sich seine eigene RAS-Lösung damit basteln (wenn man mal abends von zuhause arbeiten will)
Theoretisch kann man sogar laut vorletzter ct-Ausgabe die lokalen Rechner mit einem Internet-Zielnetz bridgen, hab ich aber noch nicht probiert. Dann wären die Rechner im Internet im gleichen LAN wie lokalen Rechner hinter der Firewall.