hallos : )
nur so als vorwarnung:
in sache netzwerk bin ich eine ziemliche pfeiffe!
also mein problem:
ich hab einen webserver mit ssh am laufen. nun gut, port forwarding (22 / 80 ) geht nun auf diese kiste. nun möchte ich mittels vnc auf eine zweite kiste zugreiffen, welche hinter dem webserver steht... wenn ich am router den port 22 auf die zweite zuweise klappt dies wunderbar, jedoch ist es etwas umständlich und unsicher, dies jeweils am router einzutragen.
wie mache ich dies?? muss ich was in auf dem webserver in die sshd_config eintragen, oder ein weiteres port-forwarding ding, welches aber nur auf vnc anspricht??
vnc via webserver auf eine andere kiste
Verstehe ich das richtig, dass Du den Webserver als Front mißbrauchst?
Um es sicherer zu machen:
Ändere Deine SSH-Port von 22 in den nichtprivilegierten Bereich! Das hilt schon viel. Zwar ist das nur eine Verschleierung, doch es hilft schon (Sicherheit duch Täuschung).
Wenn Du einen Rechner hinter dem Server erreichen willst mußt Du via iptables eine Forwardingregel erstellen, die einen Sourceport an ein Ziel leitet ohne das Paket weiter zu betrachten. Als nächstes mußt Du dem Clienten (Putty) mitteilen, dass Du einen bestimmten Port zu einem Dienst mit einem bestimmten Port tunneln willst.
Ich bin mir aber nicht im Klaren was Dein rechner hinter dem Websrv. macht???
my
Um es sicherer zu machen:
Ändere Deine SSH-Port von 22 in den nichtprivilegierten Bereich! Das hilt schon viel. Zwar ist das nur eine Verschleierung, doch es hilft schon (Sicherheit duch Täuschung).
Wenn Du einen Rechner hinter dem Server erreichen willst mußt Du via iptables eine Forwardingregel erstellen, die einen Sourceport an ein Ziel leitet ohne das Paket weiter zu betrachten. Als nächstes mußt Du dem Clienten (Putty) mitteilen, dass Du einen bestimmten Port zu einem Dienst mit einem bestimmten Port tunneln willst.
Ich bin mir aber nicht im Klaren was Dein rechner hinter dem Websrv. macht???
my
ähh... jäu... was wäre denn die richtigere variante??my hat geschrieben:Verstehe ich das richtig, dass Du den Webserver als Front mißbrauchst?
Werde mich mal drauf und drann machen... ich hab da mal was in /etc/ssh/sshd_config gesehen... muss ich noch wo anders was einstellen oder genügt nur die änderung dort (plus port-forwarding im router).my hat geschrieben:Um es sicherer zu machen:
Ändere Deine SSH-Port von 22 in den nichtprivilegierten Bereich! Das hilt schon viel. Zwar ist das nur eine Verschleierung, doch es hilft schon (Sicherheit duch Täuschung).
hört sich spannend an... hab bis jetzt exxtremstens mühe, etwas theoretisches in die praxe zu bringen. hast du vielleicht einen guten link zu mehr praktik...my hat geschrieben:Wenn Du einen Rechner hinter dem Server erreichen willst mußt Du via iptables eine Forwardingregel erstellen, die einen Sourceport an ein Ziel leitet ohne das Paket weiter zu betrachten. Als nächstes mußt Du dem Clienten (Putty) mitteilen, dass Du einen bestimmten Port zu einem Dienst mit einem bestimmten Port tunneln willst.
eigentlich sollte das ein fern-unterricht für meine mutter werden... : ) ich muss dann nicht stetig vorbei gehen, um ihr einige sachen über linux zu erklären, sondern kann hübsch dies über den screen machen... screen -x und wenn' s dann mal rund geht, mit asterisk : )my hat geschrieben:Ich bin mir aber nicht im Klaren was Dein rechner hinter dem Websrv. macht???
vielen dank auch : )
grüsse,
pat.
a_pat hat geschrieben:ähh... jäu... was wäre denn die richtigere variante??
Code: Alles auswählen
Gelingt es einem Eindringling aus dem externen Netz einen internen Rechner einzunehmen, der in keiner echten DMZ steht, so hat man den Firewallschutz auch für alle anderen internen Rechner verloren. Deshalb gehören Rechner, die durch eine Port Forwarding-Regel direkt angreifbar gemacht wurden, grundsätzlich in eine DMZ.
vgl.: http://wiki.hackerboard.de/index.php/DMZ_(demilitarized_zone)Wenn ich Dein Vorhaben richtig verstehe administrierst Du den Rechner Deiner Mutter hinter dem in die DMZ gehörenden Webserver. Stelle den Webserver in die DMZ und forwarde vom Router zu Linuxrechner der Mutter. Nimm einen Highport für den SSHD auf dem PC.
http://www.debian.org/doc/manuals/secur ... ex.de.htmlhört sich spannend an... hab bis jetzt exxtremstens mühe, etwas theoretisches in die praxe zu bringen. hast du vielleicht einen guten link zu mehr praktik...
vgl.: Seite 122ff.
Warum willst du nicht zu Deiner Mutter gehen :-))eigentlich sollte das ein fern-unterricht für meine mutter werden... : ) ich muss dann nicht stetig vorbei gehen, um ihr einige sachen über linux zu erklären, sondern kann hübsch dies über den screen machen... screen -x und wenn' s dann mal rund geht, mit asterisk : )
Ich nehme für solche Fälle eine getunnelte VNC Verbindung, die ich durch eine SSH- oder VPN-Session leite. Schon kann man alles auf dem Desktop der Mutter machen. Auf keinen Fall brauchst du dafür einen extra Webserver.
vgl.: http://www.go-sachsen.de/gosachsen/syst ... kat_remote
my
hae my : )
daaanke viel mal für die vielen infos, den lese-stoff und die zukünftige arbeit : )
jäu, ich versteh nun so in groben zügen, was ich so alles falsch mache... man lernt ja nie aus, hihi
wahrscheinlich meld ich mich bald wieder mal... da ich ja wirklich nicht viel ahnung hab. oou ja, ich hab jetzt schon ne frage:
ich hab da auf /var/log/auth.log so schöne einträge
versucht da jemand auf meine kiste zu kommen??
daaanke viel mal für die vielen infos, den lese-stoff und die zukünftige arbeit : )
jäu, ich versteh nun so in groben zügen, was ich so alles falsch mache... man lernt ja nie aus, hihi
hast wohl richtig verstanden... man muss ja mit den besuchen nicht übertreiben : )my hat geschrieben:Warum willst du nicht zu Deiner Mutter gehen :-))
wahrscheinlich meld ich mich bald wieder mal... da ich ja wirklich nicht viel ahnung hab. oou ja, ich hab jetzt schon ne frage:
ich hab da auf /var/log/auth.log so schöne einträge
Code: Alles auswählen
Feb x 55:55:55 mail PAM_unix[4444]: authentication failure; (uid=0) -> mail for ssh service
Feb x 55:55:57 mail sshd[4444]: Failed password for mail from 55.55.55.55 port 5555 ssh2
Feb x 55:55:59 mail sshd[4445]: Could not reverse map address 55.55.55.55.[quote]Feb x 55:55:55 mail PAM_unix[4444]: authentication failure; (uid=0) -> mail for ssh service
Feb x 55:55:57 mail sshd[4444]: Failed password for mail from 55.55.55.55 port 5555 ssh2
Feb x 55:55:59 mail sshd[4445]: Could not reverse map address 55.55.55.55.[/qoute]
Schlecht zu sagen, weil keine konkreten Daten. Überlege mal, was Du zu dieser Zeit gemacht hast. Prüfe mal den Firewall
ob kurz vorher Portscans gegen Dich gefahren wurden.
Poste aber lieber ein neues Thema.
my
Feb x 55:55:57 mail sshd[4444]: Failed password for mail from 55.55.55.55 port 5555 ssh2
Feb x 55:55:59 mail sshd[4445]: Could not reverse map address 55.55.55.55.[/qoute]
Schlecht zu sagen, weil keine konkreten Daten. Überlege mal, was Du zu dieser Zeit gemacht hast. Prüfe mal den Firewall
ob kurz vorher Portscans gegen Dich gefahren wurden.
Poste aber lieber ein neues Thema.
my