SSH über Port 80

[free]

Hallo,
ich habe einen Linuxserver und möchte vom Firmennetz über putty darauf zugreifen.
Vom Firmennetz komme ich nur über Port 80/443 raus. SSH über Port 22 geht nicht!

Möchte das ganze über einen Tunnel machen.
Was muss ich an meinem Server einstellen, damit ich über Port 80/443 auf ihn zugreifen kann?
Benötige ich noch ein bestimmtes Programm?

mfg,
free

[KBDCALLS]

Denn ssh-deamon kann so konfigurieren. Oder das nach Bedarf ein zweiter gestartet wird ;der auf Port 443; hört auf Anforderung. (inetd oder xinetd)

[Simmel]

Hallo,
ich habe einen Linuxserver und möchte vom Firmennetz über putty darauf zugreifen.
Vom Firmennetz komme ich nur über Port 80/443 raus. SSH über Port 22 geht nicht!

Möchte das ganze über einen Tunnel machen.
Was muss ich an meinem Server einstellen, damit ich über Port 80/443 auf ihn zugreifen kann?
Benötige ich noch ein bestimmtes Programm?

mfg,
free

Lege einfach dein SSH-Server auf Port 443 oder aber auf 80, dann sollte es gehen, es sei denn du nutzt diese Ports bereits auf deinem Server.

Ansonsten kannst du nur den Admin bitten den Port 22 (oder einen anderen ausgewählten) auf der Firewall freizuschalten oder aber herausfinden, ob es einen Sockscap-Server bei Euch gibt. Dann kannst du sockscap nehmen um dich zu verbinden.

Grüße,
Simmel

[free]

Also von Seiten der Firma geht nix!

In welcher File lege ich den Port auf 443?
Ich hab in /etc/ssh/sshd_config den Port 80 eingefügt

# What ports, IPs and protocols we listen for
Port 22
Port 80
...

Geht aber irgendwie nicht....

[Simmel]

Also von Seiten der Firma geht nix!

In welcher File lege ich den Port auf 443?
Ich hab in /etc/ssh/sshd_config den Port 80 eingefügt

# What ports, IPs and protocols we listen for
Port 22
Port 80
...

Geht aber irgendwie nicht....

Haste den Server auch neu gestartet?

Wenns dann immer noch nicht klappt versuche es mal mit einem telnet auf den server mit port 80, was sagt er denn dann? Kommt da was zurück?

Ist die IP-Addresse der Firmen-FW überhaupt berechtigt zuzugreifen? (Stichwort: allow from, deny from, z.B.).

Sollte der Telnet nicht durchkommen, so kann es daran liegen, das die FW nicht nur den Port freigibt sondern auch die Gültigkeit der Anfrage prüft.

Ich vermute das da ein transparenter Proxy dazwischenhängt. Da kannste dann ncihts machen, der wird mit Sicherheit nur http:// und https:// für gültig erklären und anweisen, alles andere wird von der Firewall verworfen.


Bad luck Buddy, das Einzige was da noch zieht wäre einen Apache aufmachen auf deinem Server mit https:// konfigurieren und so dann zugreifen. Weitere Möglichkeit wäre ein FTP (halte ich persönlich gar nichts von), SFTP wird da glaube ich dann auch nicht laufen.

Oder aber Webmin, auch wenn es unschön ist, für die wichtigsten Dinge könntest du dann die "Explorer"-Funktion zum Borwosen, löschen, etc verwenden.

Was anderes fällt mir da auch nicht ein.

Grüße,
Simmel

[free]

Habe den Server jetzt neu gestartet. Nun geht es!

Worin besteht eigentlich der Unterschied, wenn ich über Port 22 oder 80 draufgehe?

Sollte ich lieber Port 80 oder 443 verwenden, wenn ich vom Firmennetzwerk mich einlogge?
Standardmäßig gehe ich ja über 22 drauf.

[Rule23]

Habe den Server jetzt neu gestartet. Nun geht es!

Worin besteht eigentlich der Unterschied, wenn ich über Port 22 oder 80 draufgehe?

Sollte ich lieber Port 80 oder 443 verwenden, wenn ich vom Firmennetzwerk mich einlogge?
Standardmäßig gehe ich ja über 22 drauf.

Naja, solang du den Port 80 nicht irgendwann für einen Webserver benutzen willst, kannste den ja ruhig weiterhin für ssh benutzen. Sobald du aber einen Webserver betreiben willst, sollte auch der Standard-Port für HTTP-Anfragen (80) wieder frei sein.

Wobei Port 443 der Standard-SSL-Port ist. Also für https!

[Simmel]

Habe den Server jetzt neu gestartet. Nun geht es!

Worin besteht eigentlich der Unterschied, wenn ich über Port 22 oder 80 draufgehe?

Sollte ich lieber Port 80 oder 443 verwenden, wenn ich vom Firmennetzwerk mich einlogge?
Standardmäßig gehe ich ja über 22 drauf.

Es gibt keinen Unterschied, ein Port ist ein Port. Allerdings hat man sich international auf einige Standards geeinigt. Halten musst du dich daran allerdings nicht.

Ich würde dir mal empfehlen den (ich hoffe ich habe es richtig in Erinnerung?) Port 21 einzustellen und zu benutzen. Das ist der FTP-Port und der dürfte bei dir in der Firma möglicherweise auch freigeschaltet sein.

FTP kann ich nämlich nur von abraten, installiere dir das besser nicht auf deine Linux-Kiste.

Übrigens wenn du WINSCP noch nicht kennst, lade es dir mal runter. "Der Norton Commander unter den Puttys ". Dann verstehste auch warum (win)SCP für den "Heimbedarf" mehr hermacht als schnödes FTP.


GRüße,
Simmel

[free]

Also FTP benutze ich schon auf meinem Server!
Ich weiss, dass alles im Klartext übermittelt wird.

Kann ich auf Dateien über WINSCP auch verschlüsselt zugreifen und down- bzw. uploaden?

[meandtheshell]

FTP kann ich nämlich nur von abraten, installiere dir das besser nicht auf deine Linux-Kiste.

Begründung?

@free
siehe

Code: Alles auswählen

man sftp

BTW - kann mir einer erklären was der Port an der Firmen Firewall mit dem Port zu tun hat auf dem der sshd auf deinem Server@anywhere lauscht?

Vielleicht macht es Sinn den Gateway der Firma einmal zu fragen was denn genau offen ist und was nicht

Code: Alles auswählen

nmap -Sv -p 0-1023 <gateway_IP>

markus

[free]

In unserer Firma sind nur die Port 80 und 443 offen....

[d.cooper]

Evtl. wäre OpenVPN für dich ein Tipp. Damit hast du dann komplett freie Bahn (was natürlich nicht nett gegenüber den Admins ist): http://www.linux-magazin.de/Artikel/aus ... envpn.html

Und natürlich kann auch OpenVPN auf Port 80 oder 443 lauschen, kein Problem. Noch dazu ist die Einrichtung wirklich einfach.

Viele Grüße, Mirko

[meandtheshell]

gut dann machst du eben Portforwarding mittels ssh

Code: Alles auswählen

ssh user@local_machine -L gateway_port:your_sshd_server@home:listening_port

bei dir sieht das ca so aus

Code: Alles auswählen

ssh free@arbeitsplatz_pc_firma -L 80:server@home:22

mehr info

Code: Alles auswählen

man ssh

markus

[meandtheshell]

OpenVPN ---> Damit hast du dann komplett freie Bahn

der Admin der das nicht bemerkt ist fehl am Platz

Nocheinmal:
Der Port auf dem der sshd@home am Server lauscht korreliert mit dem am Gateway der Firma überhaupt nicht!

markus

[Pler]

Mal ne andere Frage: Was heisst, dass diese Ports frei sind? Nur weil du surfen kannst, heißt das noch nicht, dass da einfach die Ports freigeschaltet sind.
Wenn du über einen Proxy gehst, dann ist wahrscheinlich nur der Browser entsprechend konfiguriert und das heißt nicht, dass auch sonstige Verbindungen von anderen Client-Programmen ins Internet geroutet werden.

[meandtheshell]

Wenn du über einen Proxy gehst, dann ist wahrscheinlich nur der Browser entsprechend konfiguriert und das heißt nicht, dass auch sonstige Verbindungen von anderen Client-Programmen ins Internet geroutet werden.

Auch wenn das so ist kein Problem - ein Portforwarding über localhost:webbrowser_IP leitet alles um.

@free
das kannst du machen
http://www.tecchannel.de/client/linux/4 ... ndex9.html

markus

[free]

Wenn du über einen Proxy gehst, dann ist wahrscheinlich nur der Browser entsprechend konfiguriert und das heißt nicht, dass auch sonstige Verbindungen von anderen Client-Programmen ins Internet geroutet werden.

Da hast du Recht!
In der Arbeit gehen wir über einen Proxy. Habe gerade nachgefragt und nur browsen ist eingestellt. Kann also keine Verbindung über Port 80/443 herstellen.

Kann ich das sonst noch umgehen?

[nil]

Mal ne andere Frage: Was heisst, dass diese Ports frei sind? Nur weil du surfen kannst, heißt das noch nicht, dass da einfach die Ports freigeschaltet sind.
Wenn du über einen Proxy gehst, dann ist wahrscheinlich nur der Browser entsprechend konfiguriert und das heißt nicht, dass auch sonstige Verbindungen von anderen Client-Programmen ins Internet geroutet werden.

Naja, es ist so, dass die Admins von "free" das Netz gar nicht richtig konfiguriert haben. So kann "free" die Ports 80/443 nutzen wie er will, da sie direkt erreichbar sind (evtl. über NAT).
Wenn sich die Admins ein wenig mehr bemüht hätten, dann hätten Sie einen Proxy (z.B. mit Anmeldung) erzwungen. Ok, er hätte immer noch SSH machen können, es wäre jedoch ein wenig schwerer.
So können z.B. putty und Mindterm auch mit http-Proxies umgehen, man muss es jedoch erst mal korrekt konfigurieren können. Und unter Linux gibt es ja das schöne sconnect.c

[free]

Brauch ich jetzt noch einen SSH Server an meinem Arbeitsplatz?
Ich komm ja nicht über Port 80/443 raus.

[roli]

Hi free,

Hallo,
Vom Firmennetz komme ich nur über Port 80/443 raus. SSH über Port 22 geht nicht!

Tips, wie du dein Problem loesen kannst hast du ja schon einige, ABER ...
Ich moechte ja kein Spielverderber sein, aber hast du schon mal darueber nachgedacht, das es einen Grund dafuer geben koennte das nur Port 80 und 443 offen sind? Gibt es bei euch ggf. eine Betriebsvereinbarung, oder sonstiges, das die (private) Internetnutzung regelt? Wenn das so ist, liess sie dir noch mal durch! Ansonsten kannst du Probleme von Abmahnung bis zur Kuendigung bekommen.

[Simmel]

gut dann machst du eben Portforwarding mittels ssh

Code: Alles auswählen

ssh user@local_machine -L gateway_port:your_sshd_server@home:listening_port

bei dir sieht das ca so aus

Code: Alles auswählen

ssh free@arbeitsplatz_pc_firma -L 80:server@home:22

mehr info

Code: Alles auswählen

man ssh

markus

Mehr Info oben in der Anfrage.

Kann PuTTY das? Steht das auch im man ssh?

Ich weiss zwar das du viel Plan hast, aber kannste einmal nicht klugsche*ssen in einem Thread, geht sowas auch?

FTP ist nicht verschlüsselt und TOTAL überflüssig für einen kleinen privaten User der ab und an Daten verschiebt (egal in welche Richtung).

SFTP ist auch viel zu aufwendig, warum kompliziert wenns nicht auch einfacher geht? SSH ist bereits am Start, dann nimmt man doch besser SCP, oder?

Und wenn schon der Begriff PuTTY fällt sollte dir doch klar sein das ein WINscp dann am meisten Sinn machen würde, denn er hockt vor ner M$-Gurke, oder?

Was bitte genau spricht dagegen?

Im übrigen würde ein guter Systemadmin mit entsprechender Probe auch deine/n Abfrage/Scan an das Gateway mitbekommen und möglicherweise an deinem Arbeitsplatz stehen und fragen was du denn da so vorhast.

Die Frage ist halt, ob das der Firmenpolitik entspricht oder nicht. Aber darum geht es glaube ich hier nicht, Markus.

Er wollte einfach nur eine simple Lösung für sein Problem und ich denke die hat er bekommen.

[d.cooper]

Servus Markus,

OpenVPN ---> Damit hast du dann komplett freie Bahn

der Admin der das nicht bemerkt ist fehl am Platz

Oh, dann gibt's ne ganze Menge freie Admin-Stellen zu besetzen

Spätestens wenn ich das ganze durch HTTP tunnele wird es wirklich schwer, den Tunnel zu orten. Natürlich sollte man dort auch keine Gigabytes durchschleusen, weil sonst fällt allein der Traffic schon auf, ansonsten muss der Admin aber wirklich auf Draht sein, um das zu finden -- und viele sind das bei Leibe nicht.

Deswegen sagte ich ja auch: Nett ist das gegenüber den Admins nicht. Die haben meist sehr gute Gründe, warum sie das Raustunneln bzw. den Zugriff nach außen beschränken. Und im schlimmsten Fall wird man wegen sowas tatsächlich vor die Tür gesetzt.

Viele Grüße, Mirko

[Simmel]

Wenn du über einen Proxy gehst, dann ist wahrscheinlich nur der Browser entsprechend konfiguriert und das heißt nicht, dass auch sonstige Verbindungen von anderen Client-Programmen ins Internet geroutet werden.

Auch wenn das so ist kein Problem - ein Portforwarding über localhost:webbrowser_IP leitet alles um.

@free
das kannst du machen
http://www.tecchannel.de/client/linux/4 ... ndex9.html

markus

Danke für die Info, das wusste ich noch nciht. Cool!

[Simmel]

Also FTP benutze ich schon auf meinem Server!
Ich weiss, dass alles im Klartext übermittelt wird.

Kann ich auf Dateien über WINSCP auch verschlüsselt zugreifen und down- bzw. uploaden?

Ja logen, geht alles über ssh und ist echt einfach zu bedienen, geht sowohl unter LX -> LX als auch mit M$ -> LX

GRüße,
Simmel

[meandtheshell]

Kann PuTTY das? Steht das auch im man ssh?

Du kannst Mehrfachtunnel (ineinandergesachtelt) mit ssh machen

Im übrigen würde ein guter Systemadmin mit entsprechender Probe auch deine/n Abfrage/Scan an das Gateway mitbekommen und möglicherweise an deinem Arbeitsplatz stehen und fragen was du denn da so vorhast.

Es ist wie im Krieg. Haben Angreifer und Verteidiger dasselbe Potential und die selben Mittel ist der Angreifer tendenziell immer im Vorteil.

Danke für die Info, das wusste ich noch nciht. Cool!

Gerne

Ich weiss zwar das du viel Plan hast, aber kannste einmal nicht klugsche*ssen in einem Thread, geht sowas auch?

Kein Problem. Ich dachte ich helfe. Tatsache ist du verwirrst mich denn
- einmal wird mir gedankt ein andermal
- auf unsanfte Weise gesagt ich solle doch still sein

Da kein eindeutiger Trend in deinen Aussagen zu erkennen ist, werde ich den Weg wählen bei dem keiner (auch du (=Simmel) nicht) in seiner Freiheit und Entfaltung gestört ist und nichts mehr von mir geben.

markus