SSH-Tunnel - Ext. Zugriff auf Fileserver, hinter Router ...

[Gulliver03]

... nachdem ich nun mit Hilfe dieses Forums SSH-Connections aufzubauen, mutet mir die folgende Idee fast schon ein bisschen abgehoben an ..... aber dafür ist Putty & Co. ja da.

Innerhalb des LAN klappen alles trefflich ....... wie komme ich aber jetzt von draussen (extern über Internet), über den Router (SMC) hinweg auf den Fileserver. Da muss ich die IP des Routers überwinden (geht wohl nur, wenn ich ein DYNDNS-Account für diesen habe) und dann gezielt auf die Fileserver-IP gehen.

In Puuty würde das dann so aussehen, dass der Session Hostname die DynDns-IP ist und unter Tunnel die IP des Fileservers eintrage ...... oder? .... müssen da noch irgendwelche Ports-Angaben gemacht werden, denn irgendwie muss der Client-Putty doch wissen, wo der SSH-Server lauscht?

Wäre echt toll, wenn mir jemand sagen könnte, ob ich da richtig unterwegs bin und auf was noch zu achten ist.

Besten Dank

[Incom]

Also ich würde einfach im Router eine Port-Weiterleitung für SSH einrichten.

[Gulliver03]

Also ich würde einfach im Router eine Port-Weiterleitung für SSH einrichten.

Ds würde bedeuten, dass ich in den Router ein Forwarding derart eingeben müsste, dass eine Verbindung von aussen, auf den Port 22 des Servers geleitet wird (an diesem lauscht Putty) ..... als <ip-des-servers:22>, damit wäre ein Port-Forward des Routers 22 auf den Server gewährleistet. Aber wie lege ich fest, welcher "Outside Port" auf den "Inside Port 22" umgeleitet wird ..... denn ohne eine solche Regel könnte ja jeder auf den Server, oder? ........ und ist nicht die Gefahr gegeben, dass durch Probieren der "Outside Ports" irgendwann einen Verbindung klappt.

Danke für ein paar Tipps auf neuem Feld.

[Incom]

Hmm, ich verstehe nicht ganz was du meinst.
Meinst du dass du nur von einer Bestimmten IP aus dem Internet auf den Server zu greifen kannst? Wenn ja halte ich das für nicht soo wichtig, da der zugang zum server ja immer noch mit pw bzw. key geschützt ist.


MfG
Incom

[Gulliver03]

Ja, das war die erste Idee, .... nur mit einem Rechner auf den Server von extern. Das würde aber eine statische IP auf dem Client bedeuten, die nicht vorliegt, da ja der Provider diese immer wieder neu beim Einwählen festlegt.

Das bedeutet aber auch, dass prinzipiell jeder, der den DynDns-Namen des Routers kennt und ein bisschen mit den Outside-Ports rumspielt/ausprobiert, der wird evtl. irgendwann vom Router auf den Port 22 des Servers geleitet und dann nur noch von Paßwörtern am Zugang gehindert ...... oder?

[Incom]

Ja, aber solange du ein sicheres Passwort verwendest sollte das nicht sooo ein Risiko sein. Besser ist natürlich die Public-Key Methode.
Ich bin da nach http://www.debianhowto.de/howtos/de/ssh ... index.html vorgegangen.

MfG
Incom

[Gulliver03]

Ok, dann habe ich es verstanden ..... die Authentifizierung mache ich bereits per Pubkey

[Gulliver03]

Da PubKey und cleveres Passwort nicht alleine selig machen, habe ich mich mal umgetan, wie man bestimmten IP-Bereichen Zugriff von aussen verweigern könnte ...... dabei bin ich auf "hosts.allow" und "hosts.deny" gestossen

"hosts.deny" kann man recht einfach mit ALL füllen, nur bei "hosts.allow" wirds schwieriger ..... wo fange ich da an .... welche IP-Bereiche sollte ich da auf jeden Fall aufführen (auf jeden Fall mal die IP meines Servers).

Aufbau von /etc/host.deny
ALL: EXCEPT sshd
sshd: ALL ECEPT <hier-sollte-dann-ips-stehen>

Bei dem vorstehenden Beispiel könnte die /etc/hosts.allow leer bleiben.


Aufbau von /etc/hosts.allow
sshd: <ip-des-servers>, ???????
sshd: .ssh.com <hostname> (würde diese Zeile bedeuten, dass nur eingetragene User des Host sich einloggen könnten (mit Pubkey und Passphrase natürlich)

Was könnte/sollte ich da noch eintragen.

Danke für Tipps.