VNC-port tunneln

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
trallalala
Beiträge: 10
Registriert: 05.12.2005 23:13:20

VNC-port tunneln

Beitrag von trallalala » 05.12.2005 23:18:15

hallo,

ich hab nen VNC-Server der soweit auch ganz gut auf der 5901 läuft. nun will ich aber von einem PC auf den server zugreifen, der hinter ner recht guten firewall sitzt, das is der port natürlich gesperrt. am besten wäre es wenn ich ihn auf die 3389 (Windows-Remote) legen könnte.
Im router bei den Virtual Servern hab ich bereits eingestellt das der Private 5901 auf den Public 3389 gelegt wird, geht aber nich. der Verbindet sich nur wenn Privat und Public port identisch sind. mit ssh hab ichs auch versucht, aber ersten bin ich zu dumm um damit den port vernünftig zu tunneln und 2. solltes nich unbedingt noch langsamer werden, DSL 1000 reicht da schon als bremse.

Meine Frage also, kann mir irgendjemand verraten wie ich durch den Viewer mit dem port 3389 auf meinen server port 5901 komme? (vielleicht kann man den server auch gleich auf nem andern port starten? )

MFG
trallalalala

nil
Beiträge: 989
Registriert: 08.06.2005 13:28:36

Beitrag von nil » 06.12.2005 09:26:37

der hinter ner recht guten firewall sitzt,
Wie willst du wissen ob die Firewall recht gut ist, wenn du einfach ein paar Möglichkeiten aufzählst ohne zu verifizieren, ob die Firewall es erlaubt. Bei der Firewall und dem Netz musst du ansetzen.
Ein paar Fragen:
- hasst du interne/externe IPs beim Client?
- ist NAT (Adressusetzung) aktiviert
- welche Kommunikationen sind direkt erlaubt (z.B. SSH, versuche TELNET zu Ports)
- wird ein Proxy erzwungen für Internetzugriffe

trallalala
Beiträge: 10
Registriert: 05.12.2005 23:13:20

Beitrag von trallalala » 06.12.2005 15:32:26

dummerweise is das ja nicht meine firewall, deswegen kann ich auch nichts genaues dazu sagen. und ich schätz mal über portscan o.Ä. wäre der zuständige admin auch nicht grad glücklich. das einzige was ich weiß ist wie gesagt das man über den 3389-port nach draußen kommt, ich nehme stark an TCP.
Der Client liegt hinter nem router, bei dem ich die portumleitung für die 5901 eingeschalten hab (public-private). ich hab auch versucht den publicport 3389 auf die 5901 zu legen, klappt aber nicht. also verbindungsfehler

nil
Beiträge: 989
Registriert: 08.06.2005 13:28:36

Beitrag von nil » 06.12.2005 15:36:39

Ich würde auf den entsprechenden Ports z.B. mal SSHD starten:

Code: Alles auswählen

sshd -p portnummer
starten und dann mal versuchen mit

Code: Alles auswählen

telnet server portnummer
darauf zu gehen, es sollte eine Meldung vom SSHD erscheinen.

Code: Alles auswählen

SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
Nach diesem Test weisst du sicher, dass die Ports auch erreichbar sind. Anschließend kannst du die Port immer noch umleiten oder direkt durch SSH tunneln.

trallalala
Beiträge: 10
Registriert: 05.12.2005 23:13:20

Beitrag von trallalala » 06.12.2005 15:47:01

so, ich habs grad rausgefunden. vnc4server einfach mit -rfbport starten und schon kann ich mein pörtchen einstelln =) klappt übrigens hervorragend, auch durch böse firewalls durch

nil
Beiträge: 989
Registriert: 08.06.2005 13:28:36

Beitrag von nil » 06.12.2005 16:02:19

klappt übrigens hervorragend, auch durch böse firewalls durch
so böse kann sie ja dann nicht sein, wenn sie Routing bzw. NAT erlaubt. Eine böse Firewall erlaubt kein Routing oder NAT, alle nutzen interne IPs und die Anwendungen werden über Application-Level-Gateways auf Anwendungsebene durchgeführt. Zusätzlich wird pro Anwendung der richtige Port als Ziel verlangt. Firewalls sichern das noch weiter ab.

Leider hilft das alles nicht, wenn man z.B.:

1.) beim HTTP-Proxy die HTTPS-Kommunikationen nicht scannt (geht ja auch nicht)
2.) zwar HTTPS nur für Port 443 erlaubt, aber nicht alle Zielsysteme im Internet überprüfen kann
3.) der gemeine Angreifer seinen SSHD auf Port 443 nutzt und dann sconnect.c, mindterm oder putty als ssh-Client mit Proxy-Unterstützung einsetzt

Und wenn dieser Tunnel erst mal gegraben ist, dann ist es nicht mehr schwer, sich jedes TCP-Protokoll über den Proxy und SSH zu forwarden (POP3, SMTP, X11, ICQ, ...) Auch kann man sich seine eigene RAS-Lösung damit basteln (wenn man mal abends von zuhause arbeiten will)

Theoretisch kann man sogar laut vorletzter ct-Ausgabe die lokalen Rechner mit einem Internet-Zielnetz bridgen, hab ich aber noch nicht probiert. Dann wären die Rechner im Internet im gleichen LAN wie lokalen Rechner hinter der Firewall.

Antworten