iptables frage [gelöst]

rene04 · Beitrag von **rene04** » 23.07.2007 15:05:28

hallo leute

ich stoße hier gerade wieder an meine grenzen und hoffe hier auf hilfe. ich möchte eine iptables firewall aufbohren. folgendes scenario:

zugang vom internet (also aussehalb der firma) auf einen Application-Server im hausinternen netzwerk (über Remote Desktop Protokoll). Dieser Server steht in einer dmz (firmenintern) und hat einen router vorgeschaltet.

jetzt bin ich hier etwas ratlos wie ich den usern vonaussen zugriff auf den application-server geben kann da das mit normalen forward oder masquerade regeln nicht zu funktionieren scheint. es ziehlt wohl eher auf tcp redirect. nur leider habe ich davon nun wirklich garkeine ahnung.

hat jemand sowas schonmal gemacht? wie funktioniert so etwas?

gruesse

mragucci · Beitrag von **mragucci** » 23.07.2007 15:57:11

RDP funktioniert hervorragend über Portforwardings, Port 3389 auf den "Application Server" forwarden und gut ist. Problematisch wird es, sobald mehrere Server per RDP von aussen erreichbar sein sollen...

rene04 · Beitrag von **rene04** » 23.07.2007 15:59:35

eigentlich beschränkt sich das nur auf einen server. alles klar. ich versuch das mal.

gruesse rene

mistersixt · Beitrag von **mistersixt** » 23.07.2007 16:01:36

Dem Remote-Desktop-Protokoll würde ich direkt nicht trauen, eher würde ich das ganze vielleicht über SSH tunneln, sprich, vielleicht solltest Du den Router so einrichten, dass TCP Port 22 (also für den sshd) auf Deinen Application Server weitergeleitet wird, dann auf diesem Server einen SSH-Daemon installieren (beispielsweise den von Cygwin) und dann TCP Port 3389 (den Port vom Remote Desktop) durch die SSH-Verbindung durchtunneln (Option -L bei ssh).

Gruss, mistersixt.

rene04 · Beitrag von **rene04** » 23.07.2007 16:05:20

hmmm, das man dem rdp protokoll nicht trauen sollte ist mir leider klar. da bietet sich die eben genannte lösung gut an. aber wenn

Code: Alles auswählen

vielleicht solltest Du den Router so einrichten, dass TCP Port 22

kann man dann noch ganz normal als admin per ssh auf die maschine connecten? ich denke damit is dann vorbei

gruesse

mragucci · Beitrag von **mragucci** » 23.07.2007 16:12:15

Hmm? Warum sollte das nicht mehr gehen?

BTW: RDP verwendet RC4 mit wahlweise 56 oder 128 bit. Da müssen schon ein paar Gigabyte mitgeschnitten werden bevor ihr da etwas Entschlüsseln könnt....

rene04 · Beitrag von **rene04** » 23.07.2007 16:23:01

na weil port 22 ja auf ne andere maschine weitergeleitet wird.

gruesse

mragucci · Beitrag von **mragucci** » 23.07.2007 16:30:57

Es gibt also einen ssh-server im Netz, der von aussen erreichbar ist, ja?
Dann per ssh auf diesen server verbinden und im ssh client Portforwarding auf ServerIP:3389 einstellen.

Kann Probleme mit dem Microsoft RDP Client geben (z.B. keine alternative Portangabe möglich (vielleicht per Registry-Hack??)), ausserdem darf auf dem Client nicht auch die RDP-Connection aktiviert sein.

Wenn der Application Server ein W2k3 Server ist kannst Du auch RDP per SSL fahren --> Sicher und nicht so problematisch wie das mit dem Portforwarding des ssh servers...

rene04 · Beitrag von **rene04** » 23.07.2007 16:34:36

hi,

Code: Alles auswählen

Es gibt also einen ssh-server im Netz, der von aussen erreichbar ist, ja?

nein, nur von innen.

Code: Alles auswählen

Wenn der Application Server ein W2k3 Server ist kannst Du auch RDP per SSL fahren --> Sicher und nicht so problematisch wie das mit dem Portforwarding des ssh servers...

...ist er

hat jemand ein beispiel für so ne regel?

ich hatte bisher immer nur mit input und output gearbeitet und nie mit forwarding.

gruesse

mragucci · Beitrag von **mragucci** » 23.07.2007 16:41:38

Hier Infos zu Terminal-Server und RDP per SSL:
http://www.gwdg.de/GWDG-Nachrichten/GN0 ... 07_03.html

Iptables-Anleitungen gibt es wie Sand am Meer. Eine Seite, die ein Beispiel des Portforwardings zeigt, ist z.B.
http://excluded.wgv.at/papers/Router.html

rene04 · Beitrag von **rene04** » 23.07.2007 17:46:06

hi,

ich habe mir den ersten link eben mal durchgelesen und frststellen müssen, dass da nix von ports steht. also gehe ich davon aus das das ganze dann ganz normal über den rdp port geht.

gruesse

mistersixt · Beitrag von **mistersixt** » 23.07.2007 20:41:05

Zumindest musst Du irgend(!) einen Port von aussen aufmachen, entweder SSH oder RDP oder RDP/SSL.

Gruss, mistersixt.

rene04 · Beitrag von **rene04** » 24.07.2007 08:41:22

alles klar, dann mach ich das mal. danke für die tipps.

gruesse

mragucci · Beitrag von **mragucci** » 24.07.2007 09:52:00

Erster Link, zweiter Absatz:

Nach der Installation des SP 1 und Erfüllung einiger Voraussetzungen kann die Sicherheitsstufe der Terminalserver-Verbindung auf Secure Socket Layer (SSL) umgeschaltet werden. Ab diesem Zeitpunkt werden die Terminalserver-Client-Verbindungen über Transport-Layer-Security-Protokoll (TLS, eine sehr sichere Version des SSL 3.0) authentifiziert und verschlüsselt. Das Ganze findet nach wie vor über den TCP-Port 3389 statt (s. Abb. 1).

rene04 · Beitrag von **rene04** » 24.07.2007 11:25:07

hab isch wieder zu oberflächlich geguggt

aber das dachte ich mir ja bereits.

danke

gruesse rene

debianforum.de

iptables frage [gelöst]

iptables frage [gelöst]

RE

RE

RE

RE

RE