Tunnel mit Portmap

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
kutt
Beiträge: 127
Registriert: 22.06.2004 00:21:27

Tunnel mit Portmap

Beitrag von kutt » 04.08.2016 10:21:48

Hallo,

vorab: Ich frage erst mal, weil ich nicht so recht weiß, wonach ich suchen soll.

Folgendes Problem:

Ich hänge oft an Netzwerken, bei denen nur wenige Ports nach draußen frei sind (i.A. 21, 22, 80, 443 etc).
Ich möchte aber auf andere Ports zugreifen -> nein, damit meine ich nicht Emule und Co. aber z.B. liegt mein SQL und SSH Server auf einem anderen Port, um den generischen BruteForce Attacken zu entgehen. Zu dem liegen die Zielports nicht unbedingt nur auf meinem Server, sondern auch evtl. auf Drittservern.

Meine erste Idee war daher ein Proxy, der das evtl. machen könnte, aber momentan schwebt mir eher ein VPN vor. Also ich gehe in das VPN meines Servers und er fungiert als Gateway nach draußen ohne dieses doofe Portblocking.

Ich frage nicht, ob sowas geht - das tut es sicher. Kennt jemand ein gutes Tutorial, in dem die Einrichtung einer solchen Sache erklärt wird?
-- hmmm

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Tunnel mit Portmap

Beitrag von uname » 04.08.2016 22:15:08

Du kannst z.B. mit Debiansslh auf dem Port 443 sowohl HTTPS (TLS/SL) als auch SSH per Protokol-Multiplexer betreiben. Könnte aber sein, dass dann über Port 443 einige Brute-Force-Angriffe gegen SSH eingehen. Aber bei ordentlichen Passwörtern, SSH-Keys oder OTP sollte das alles kein Problem sein. Leider weiß ich nicht wie zuverlässig sslh ist. Ich habe es lange nicht mehr probiert. Ich würde es eher zusätzlich für den Notfall nutzen und auch nur dann, wenn der SSL-Webserver nicht unter Dauerlast steht. Du solltest mindestens übergangsweise den SSH-Server auch auf einem anderen Port betreiben, um dir nicht selbst das Syste abzuschießen. Durch das SSH auf Port 443 solltest du dann alles tunneln können wie z.B. ein VPN auf SSH-Basis (ssh -p 443 -w ...) oder ein Proxy per Local-Port-Forwarding (ssh -p 443 -L ...). OpenVPN brauchst du nicht wirklich.

Und ja: Portblockierungen sind sinnlos solange man den Inhalt nicht filtert bzw. filtern kann.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Tunnel mit Portmap

Beitrag von Cae » 04.08.2016 22:59:41

Ich wuerd's per SSH tunneln, in kurz

Code: Alles auswählen

$ ssh -L localhost:3306:localhost:3306 user@host
Das stellt den MySQL-Port vom localhost des Servers (zweiter "localhost:3306") auf dem "lokalen localhost" des Clients (erster Ausdruck) bereit. MySQL sollte mangels Verschluesselung uebrigens nicht alleine quer durch's Netz geblasen werden.

Man kann auch mehrere -L-Argumente in einen SSH-Befehl packen und sich alle benoetigten Ports als Gesamtpaket hertunneln.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Tunnel mit Portmap

Beitrag von catdog2 » 05.08.2016 01:11:44

MySQL sollte mangels Verschluesselung uebrigens nicht alleine quer durch's Netz geblasen werden.
Naja dem kann man wohl auch TLS beibringen, ssh ist aber einfacher.
Unix is user-friendly; it's just picky about who its friends are.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Tunnel mit Portmap

Beitrag von uname » 08.08.2016 16:35:24

Sind Apache2 und MySQL tatsächlich auf zwei unterschiedlichen Servern? Ist MySQL per 0.0.0.0:3306 bzw. alternativen Port aus dem Internet erreichbar? Normalerweise hostet man Apache2 und MySQL auf einen Server, Webserver per 0.0.0.0:80/443 über Internet erreichbar und dieser greift per 127.0.0.1:3306 nur lokal auf MySQL zu.

Antworten