Sie sind nicht angemeldet.

SSH Portweiterleitung auf virtuelle suse ?

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Chedak

Anfänger

  • »Chedak« ist der Autor dieses Themas

Beiträge: 13

  • Nachricht senden

1

12.03.2012, 21:39

SSH Portweiterleitung auf virtuelle suse ?

Hi Leutz.

Ich hab ne kurze Frage. Auf meinem vserver (Ubuntu 2.6.32-31 64-Bit) ist suse 12.1 virtuell installiert und ich möchte den ssh Port darauf umleiten. Allerdings läuft da zur gleichen Zeit noch windows xp. Ich wähle am besten einen höheren Port nach aussen, also zum Beispiel 33422 oder so ähnlich. Bin leider inzwischen hier nicht mehr in Übung, habe ne Menge stuff forgotten um selbst darauf zu kommen und zudem habs vorher noch nie selbst gemacht.

In welcher Datei sollte ich den Port umleiten und wie?

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

2

15.03.2012, 07:56

Keine Ahnung, was Du genau willst. Ich nehme mal an, dass Du den Port umstellen möchtest, auf dem der SSH-Daemon lauscht. Das stellt man in der Datei /etc/ssh/sshd_config ein, z.B, mit dem Eintrag Port 33422.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Chedak

Anfänger

  • »Chedak« ist der Autor dieses Themas

Beiträge: 13

  • Nachricht senden

3

15.03.2012, 13:46

Nö, ich habe putty Zugriff auf den Host - ubuntu. Aber ich möchte mit noch einem Puttyeintrag den Gast erreichen. Der Host lauscht auf Port 22, aber der gast kann nicht auf den selben port lauschen. Daher brauche ich so etwas wie Portumleitung auf dem host, damit der Port 33422 auf den Gast mit der IP w.x.y.z und port 22 umgeleitet wird.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

4

15.03.2012, 16:03

Aha und die IP w.x.y.z des Gastes ist eine nichtöffentliche IP und ist von außen nicht erreichbar oder wie? Oder lauschen etwa alle auf der selben IP?
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Chedak

Anfänger

  • »Chedak« ist der Autor dieses Themas

Beiträge: 13

  • Nachricht senden

5

15.03.2012, 16:08

Korrekt. Die öffentliche IP des Hostes ist sagen wir als Beispiel 123.123.123.123
Die IP des Gastes ist 192.168.1.5 / 255.255.255.0

Jetzt erreiche ich natürlich den Host mit 123.123.123.123:22, aber um den Gast zu erreichen brauche ich doch sicherlich einen anderen Socket wie z.B. 123.123.123.123:33422.Also muss der Host Anfragen an den Port 33422 an den Socket 192.168.1.5:22 weiterleiten - wie ein Router.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

6

15.03.2012, 16:26

Ok, da musst Du eine entsprechende iptables-Regel in die Firewall des Hosts einbauen. Die muss natürlich so platziert werden, dass sie noch VOR einer entsprechenden DROP-Regel ausgeführt wird.
Die Regel könnte z.B. so aussehen:
iptables -t nat --dport 33422 -p tcp -i eth0 -j DNAT --to-destination 192.168.1.5:22
Ich bin jetzt davon ausgegangen, dass die Anfragen von außen am Host auf eth0 ankommen, ansonsten muss das Device geändert werden. Diese Regel schickt die Anfragen am Host auf Port 33422 an die IP 192.168.1.5 auf Port 22.
Das funktioniert natürlich nur, wenn das Routing zwischen Host und Gast richtig eingestellt ist.
Außerdem kann es sein, dass eventuell für die Antwortpakete des Gastes noch eine gesonderte Regel benötigt wird (Ich kenne ja die Firewall-Einstellungen nicht).
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Chedak

Anfänger

  • »Chedak« ist der Autor dieses Themas

Beiträge: 13

  • Nachricht senden

7

17.03.2012, 01:54

Danke schön. Ich werde das demnächst versuchen, momentan hab ich noch ganz andere Probleme mit den Server. :cheers:

Chedak

Anfänger

  • »Chedak« ist der Autor dieses Themas

Beiträge: 13

  • Nachricht senden

8

25.03.2012, 23:43

Zitat von »linuxerr«

Die Regel könnte z.B. so aussehen:
iptables -t nat --dport 33422 -p tcp -i eth0 -j DNAT --to-destination 192.168.1.5:22
Ich bin jetzt davon ausgegangen, dass die Anfragen von außen am Host auf eth0 ankommen, ansonsten muss das Device geändert werden. Diese Regel schickt die Anfragen am Host auf Port 33422 an die IP 192.168.1.5 auf Port 22.

Hi, ich habe die anderen Probleme beseitigt und wollte das jetzt mal testen - das klappt leider nicht. So sieht die Fehlermeldung aus:

Quellcode

 
1
2

iptables -t nat --dport 33422 -p tcp -i eth0 -j DNAT --to-destination 192.168.1.5:22
iptables v1.4.4 unknown option --dport'

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

9

31.03.2012, 08:22

ja, die regel ist nicht vollständig.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 33422 -j DNAT --to-destination 192.168.1.5:22
du solltest in den firewallregeln auf jeden fall die DROPs loggen.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Chedak

Anfänger

  • »Chedak« ist der Autor dieses Themas

Beiträge: 13

  • Nachricht senden

10

31.03.2012, 18:11

Hi,
erstmal vielen Dank, daß Du dich wieder gemeldet hast. Das ist sehr nett gewesen.

Zitat von »linuxerr«

ja, die regel ist nicht vollständig.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 33422 -j DNAT --to-destination 192.168.1.5:22
du solltest in den firewallregeln auf jeden fall die DROPs loggen.

Jetzt kommt gar keine Fehlermeldung. Aber durchkommen ist trotzdem nicht. Sollte ich also so machen?

Quellcode

 
1

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 33422 -j LOG --log-level 7 --log-prefix "Dropped by firewall: " DNAT --to-destination 192.168.1.5:22


Wo landen die dann alle? Kann ich ein Verzeichnis und Dateinamen dafür vorgeben?

Zurzeit ist neben Ihnen 1 Benutzer in diesem Thema unterwegs:

1 Besucher

Ähnliche Themen

Thema bewerten