SSH port forwarding

Linux-kezdő

SSH port forwarding

  • 746 megtekintés

( szucs_t | 2005. 09. 21., sze – 10:09 )

Sziasztok!

Tudjátok, hogyan lehet megoldani azt, hogy az átjáró mögötti belső gép egy portját úgy lássa bárki kívülről, hogy az átjáró egy portjára néznek?

[code:1:d7d43f6cd0]ssh -f -g -N -L3389:atjaro:3389 belsogep[/code:1:d7d43f6cd0]

Hiába adom ki ezt a aparancsot az átjárón, nem látom a belső gép 3389-es portját, ha az átjáró 3389-es portjára kukkantok (pl. telnettel).

Mit csinálok rosszul? Mit kell beállítani az sshd_config-ban?

( popacsek | 2005. 09. 21., sze – 11:17 )

-L3389:atjaro:3389 belsogep

helyett:

-L 3389:localhost:3389 belsogep

Szerintem ...

( szucs_t | 2005. 09. 21., sze – 12:20 )

[quote:e6d66b7a21="popacsek"]-L3389:atjaro:3389 belsogep

helyett:

-L 3389:localhost:3389 belsogep

Szerintem ...

Köszi, közben már észrevettem a hibát.

Helyesen:

[code:1:e6d66b7a21]-L3389:belsogep:3389 localhost[/code:1:e6d66b7a21]

No, és persze egy "&" a végére, hogy a háttérben fusson.

( TommyB | 2005. 09. 11., v – 22:07 )

-g Allows remote hosts to connect to local forwarded ports.
szerintem erre a paraméterre van szükséged.

( Pingvin | 2005. 09. 11., v – 22:09 )

Sajnos - úgy tűnik, hogy - nem. Próbáltam már... :(

( TommyB | 2005. 09. 11., v – 22:13 )

netstat -anp mit mutat a kapcsolat létrejötte után?

( zeller | 2005. 09. 11., v – 22:18 )

[quote:1ebda3ceb9="Pingvin"]Ok, ezt most meg is találtam. A baj csak az, hogy a távoli gépen localhostról símán rá tudok ugyan csatlakozni a kívánt portokra, de a Net felől "connection refused". Nmappal megnézve a portok zárt állapotban vannak. Mit csinálok rosszul?

Szerintem a csomagszűrést :-))

Nézzük részletesen:
Van egy gép, amin 127.0.0.1:12345 hallgat egy szolgáltatás, illetve az w.x.y.z:22-n hallgat egy sshd. Legyen ez a gép a "szazas"

Fogod a nemszazas gepen az ssh-t. és azt mondod, hogy:
ssh -R 127.0.0.1:12345:w.x.y.z:12345 -T
Eztán ugyancsak a nemszazas gépen, ha a localhost:12345-re konnektálsz, a szazas gépen futó szolgáltatást kell kapnod. Ha nem így van, akkor a csomagszűrőben logolj, és nézd meg, hol akad el a csomag.

( Pingvin | 2005. 09. 11., v – 22:22 )

Tehát. Leendő kolis gépemen elindítva az SSH klienst, a szerver gépen a netstat -anp releváns része:

[code:1:8b16a15b7c]tcp 0 0 127.0.0.1:14741 0.0.0.0:* LISTEN 17431/sshd: trinity
tcp 0 0 127.0.0.1:14742 0.0.0.0:* LISTEN 17431/sshd: trinity
[/code:1:8b16a15b7c]

Továbbá, talán ez is segít:

#nmap -p 14741 localhost

[code:1:8b16a15b7c]14741/tcp open unknown

Nmap finished: 1 IP address (1 host up) scanned in 0.119 seconds
[/code:1:8b16a15b7c]

#nmap -p 14741 szerver.hu

14741/tcp closed unknown

Nmap finished: 1 IP address (1 host up) scanned in 0.117 seconds

( TommyB | 2005. 09. 11., v – 22:23 )

igen, a baj az, hogy csak a loopback interfészen figyel a bejövő kapcsolatra
erre kellene valami megoldást találni

( TommyB | 2005. 09. 11., v – 22:26 )

esetleg próbáld meg a
GatewayPorts yes
sort beszúrni az /etc/ssh/sshd_config-ba beszúrni

( Pingvin | 2005. 09. 11., v – 22:28 )

Hm. Szerintem az egy megoldás lenne, hogy vagy port redirecttel megoldani vagy az SSHd-t rávenni, hogy más interfészen/IP-n figyeljen. Ennek fogok most megpróbálni utánajárni (google/man etc)... de akinek van ötlete... :)

( Pingvin | 2005. 09. 11., v – 22:28 )

[quote:33e836ae98="TommyB"]esetleg próbáld meg a
GatewayPorts yes
sort beszúrni az /etc/ssh/ssh_config-ba beszúrni

Ok, megpróbálom!

( Pingvin | 2005. 09. 11., v – 22:31 )

[quote:7e4063f9ac="Pingvin"][quote:7e4063f9ac="TommyB"]esetleg próbáld meg a
GatewayPorts yes
sort beszúrni az /etc/ssh/ssh_config-ba beszúrni

Ok, megpróbálom!

Ugyanúgy closed. :(

Aztán... Próbáltam változtatni a

-R 14742:localhost:14742

belül a "localhostot" a szerver külső IP címére, akkor is csak a lo-hez bindel. :(

( Pingvin | 2005. 09. 11., v – 22:31 )

[quote:92b43d6014="TommyB"]bocsi javítva: sshd_config

Vagy úgy... ok, próbálom. :)

( Pingvin | 2005. 09. 11., v – 22:33 )

[quote:04c203845e="Pingvin"][quote:04c203845e="TommyB"]bocsi javítva: sshd_config

Vagy úgy... ok, próbálom. :)

Na, mostmár bindel nem lo-re is, mindjárt kiderül, hogy tudok-e távolról csatlakozni. Néhány perc... Konfigolok. :)

( Pingvin | 2005. 09. 11., v – 22:38 )

:)))))))
Ohh. :)) Köszönöm szépen a segítséget, mostmár működik, ez volt a baj! Szuper! :))))

( Elbandi v | 2005. 09. 11., v – 23:28 )

hmm anno nekem nem kellett haxolni semmit, eleg volt a -g kapcsolo is :roll:

( TommyB | 2005. 09. 12., h – 18:00 )

Szerintem biztonsági megfontolásból került bele ez az opció.

( szucs_t | 2005. 09. 22., cs – 07:41 )

Egyre jobban szeretem az SSH-t. Szinte amit az SSH nem tud, az nincs is.

( szucs_t | 2005. 09. 22., cs – 08:07 )

[quote:f9dc0f1f40="szucs_t"]No, és persze egy "&" a végére, hogy a háttérben fusson.

Ja, persze nem kell az "&", ha van a -f!

( Pingvin | 2005. 09. 11., v – 17:16 )

Sziasztok! :)

Nemsokára kolis leszek (hurrá). Csak az a probléma, hogy a koliban a gépemet egyáltalán nem lehet majd látni a net felől. Portforwarding, stb. nem adnak, tiltott, stb. természetesen.

Azt szeretném megkérdezni, hogy SSH-n keresztül meg tudom-e oldani a következőt:

Van egy távoli gépem, ami állandó 100Mbites kapcsolattal rendelkezik. Ezen én tudok nyitni portokat, stb. A probléma az, hogy hogyan tudnám SSH-n keresztül vagy valamilyen más formában forwardolni az ilymódon kinyitott portokra érkező kéréseket a kolis gépemre?

Eredetileg egy ilyen megoldásra gondoltam:

ssh -L 14741:hoszt:14741 -N pingvin@hoszt

Ezzel csak az a baj, hogy a szerveren a már nyitott portokat minden további nélkül átforwardolja ugyan a gépemre, de ha az én gépemen van nyitva a port, akkor az a "külső" portra rácsatlakozva nem érhető el (closed). A szerverről nem tudok be SSH-zni a kolis gépembe, így a fordított megoldás (szerverről vissza be ssh-zni) tudtommal nem jöhet össze.

Szóval, hogyan lehet azt megoldani, hogy az én gépemen figyelő portokat úgy továbbítsam a távoli gépre valamilyen tunnelen, stb. keresztül, hogy az arra érkező kapcsolatok az én gépemre továbbítódjanak vissza? :)

( zeller | 2005. 09. 11., v – 17:25 )

A kolis gépedről indítod az ssh-s portforwardot -R kapcsolóval (5 képernyővel lejjebb benne van az ssh manjában...)

( Pingvin | 2005. 09. 11., v – 19:42 )

Ok, ezt most meg is találtam. A baj csak az, hogy a távoli gépen localhostról símán rá tudok ugyan csatlakozni a kívánt portokra, de a Net felől "connection refused". Nmappal megnézve a portok zárt állapotban vannak. Mit csinálok rosszul?