[gelöst] ssh portforwarding für eine spezielle Adresse

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
malzeit
Beiträge: 115
Registriert: 15.04.2015 15:18:03
Wohnort: Niederrhein

[gelöst] ssh portforwarding für eine spezielle Adresse

Beitrag von malzeit » 30.11.2016 20:22:33

Moin,

bisher bekomme ich mit dem ssh-portforwarding alles so hin, wie ich es möchte. Jetzt habe ich aber einen Sonderfall (man könnte aber auch sagen dass ich der Sonderfall bin ... :roll: )

Auf meinem Läppi läuft der owncloud-client und hat als Server die Adresse https://192.168.1.100/nextcloud hinterlegt.
Zuhause wunderbar, alles wie gewünscht.

Wenn ich nun mit meinem Läppi bei Schwiegereltern bin (schlechte Staße, nix zu fresse, des is Hesse), was muss ich da im Terminal tippen, damit nur das Ziel https://192.168.1.100 umgelenkt wird und nicht sämtlicher Verkehr über Port 443?

Mein Server ist von außerhalb NICHT erreichbar, außer durch ssh via Port 22; alle anderen Ports sind geblockt und dabei soll es auch bleiben!

ssh -L 443:geheimerdynamischerzugang.ork:443 würde ja allen https-Verkehr drüber lenken und genau das will ich ja nicht.

Gruß
Zuletzt geändert von malzeit am 01.12.2016 19:36:57, insgesamt 1-mal geändert.
Laptop...................+...Server
Lenovo X1 Carb. 1st Gen..+...Z83 MiniPC - 4 W Leerlauf, 10 W Volllast inkl. 2,5 W USB-HDD
Intel i7-3667U @3,2 GHZ..+...Intel Atom Z8350 @ 0,48 - 1,92 GHz
8 GiB RAM................+...2 GiB RAM
240 GiB SSD..............+...32 GB interner Flash als root + 592GiB USB-HDD als /var
Debian Sid - AMD64.......+...Debian stable
++++Wiki-Artikel zum Thema Fluxbox++++

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: ssh portforwarding für eine spezielle Adresse

Beitrag von MSfree » 01.12.2016 08:48:53

malzeit hat geschrieben:ssh -L 443:geheimerdynamischerzugang.ork:443 würde ja allen https-Verkehr drüber lenken und genau das will ich ja nicht.
Nein, das leitet nur den HTTPS-Verkehr durch den SSH-Tunnel, der auf deinem Laptop auf https:localhost geht.

Wenn du den Tunnel aufgebaut hast, wird immer noch https://www.heise.de ganz normal rausgeroutet, aber https://localhost/nextcloud würde durch den Tunnel gehen und den Owncloudserver in deinem LAN ansprechen.

Benutzeravatar
malzeit
Beiträge: 115
Registriert: 15.04.2015 15:18:03
Wohnort: Niederrhein

Re: ssh portforwarding für eine spezielle Adresse

Beitrag von malzeit » 01.12.2016 09:09:48

MSfree hat geschrieben: Wenn du den Tunnel aufgebaut hast, wird immer noch https://www.heise.de ganz normal rausgeroutet, aber https://localhost/nextcloud würde durch den Tunnel gehen und den Owncloudserver in deinem LAN ansprechen.
Wieder was gelernt!
Gäbe es denn die Möglichkeit das Ganze jetzt so einzurichten, dass nur Pakete, die auf 192.168.1.100:443 gehen, über den Tunnel geleitet werden?

Weil sonst müsste ich jedesmal die Konfiguration ändern am owncloud-client?!

Gruß und Danke für die erste Hilfe!
Laptop...................+...Server
Lenovo X1 Carb. 1st Gen..+...Z83 MiniPC - 4 W Leerlauf, 10 W Volllast inkl. 2,5 W USB-HDD
Intel i7-3667U @3,2 GHZ..+...Intel Atom Z8350 @ 0,48 - 1,92 GHz
8 GiB RAM................+...2 GiB RAM
240 GiB SSD..............+...32 GB interner Flash als root + 592GiB USB-HDD als /var
Debian Sid - AMD64.......+...Debian stable
++++Wiki-Artikel zum Thema Fluxbox++++

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: ssh portforwarding für eine spezielle Adresse

Beitrag von MSfree » 01.12.2016 10:26:43

malzeit hat geschrieben:Gäbe es denn die Möglichkeit das Ganze jetzt so einzurichten, dass nur Pakete, die auf 192.168.1.100:443 gehen, über den Tunnel geleitet werden?
Der Rechner mit der IP 192.168.1.100 ist aus dem Netz deiner Schwiegereltern nicht direkt erreichbar, schon gar nicht via IP-Adresse. Daher mußt du ja auch den Tunnel aufbauen, und der forwarded den localen Port 443 auf den Remoteserver.
Weil sonst müsste ich jedesmal die Konfiguration ändern am owncloud-client?!
Naja, du könntest natürlich noch ein zusätzliches Portforewarding von 192.168.1.100:443 auf localhost:443 mit iptables einrichten. Darüber würde dann alles, was an Port 443 IP 192.168.1.100 geht, auf localhost:443 geforewarded, und das wird im zweiten Schritt durch den SSH-Tunnel an den eigentlichen Zielrechner durchgereicht. Zumindest brauchst du dann den Owncloud-Client nicht umkonfigurieren.

Das ganze ist aber ziemlich von hinten durch die Brust ins Auge. Für iptables werden root-Rechte benötigt.

Der Befehl, den du mit iptables absetzen müßtest, sollte so lauten:

Code: Alles auswählen

iptables -A OUTPUT -d 192.168.1.100 --dport 443 -J REDIRECT --to-destination 127.0.0.1:443

Benutzeravatar
malzeit
Beiträge: 115
Registriert: 15.04.2015 15:18:03
Wohnort: Niederrhein

Re: ssh portforwarding für eine spezielle Adresse

Beitrag von malzeit » 01.12.2016 19:35:52

MSfree hat geschrieben:

Code: Alles auswählen

iptables -A OUTPUT -d 192.168.1.100 --dport 443 -J REDIRECT --to-destination 127.0.0.1:443
Vielen Dank. Hatte irgendwie schon die Befürchtung, dass da was mit iptables kommt, aber das werde ich ausprobieren.

Wenn man das ganze in eine kleine Batchdatei packt, dann ist es gar nicht mehr soooooo schlimm finde ich.
Und immer noch besser als Port 443 zu öffnen und zu hoffen, das man bei seiner Nextcloud auch jaaaaa alles richtig eingerichtet hat (Apache/lighttp)

Ich markiere es mal als gelöst, und wenn es doch nicht funzt dann komme ich leider wieder auf dich zurück :mrgreen:

Gruß + nochmals DANKE!
Laptop...................+...Server
Lenovo X1 Carb. 1st Gen..+...Z83 MiniPC - 4 W Leerlauf, 10 W Volllast inkl. 2,5 W USB-HDD
Intel i7-3667U @3,2 GHZ..+...Intel Atom Z8350 @ 0,48 - 1,92 GHz
8 GiB RAM................+...2 GiB RAM
240 GiB SSD..............+...32 GB interner Flash als root + 592GiB USB-HDD als /var
Debian Sid - AMD64.......+...Debian stable
++++Wiki-Artikel zum Thema Fluxbox++++

Antworten