Re: SSH, Proxy, Privatsphaere?

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Tue, 1 Dec 2015 02:04:26 +0100
Hallo zusammen,

ich habe hier noch zwei weitere Anwendungsbeispiele:

3.2: Jumphost für *.uugrn.lan
3.3: Jumphost für *.fritz.box (Heimnetz hinter einer Fritz!Box)




On Sun, Oct 18, 2015 at 07:43:30PM +0200, Raphael Eiselstein wrote:
> 3. Kombinierte Anwendungsfälle zum Ausprobieren

3.2 shell.uugrn.org als SSH-Proxy für den Zugriff auf *.uugrn.lan

Wer ein UUGRN-Jailserver hat kann seinen SSH-Daemon auch relativ
paranoid so umkonfigurieren, dass er lediglich auf der *internen*
IP-Adresse lauscht. Das Jail ist dann über keine externe IP-Adresse mehr
erreichbar. 

Unter FreeBSD kann man das auch bequem in der rc.conf angeben und die 
sshd_config ansonsten unberührt lassen:

----[/etc/rc.conf]--------------------------
sshd_enable="YES"
sshd_flags="-o ListenAddress=127.0.0.1"
--------------------------------------------

Besonderheit: Da es in Jails kein 127.0.0.1 gibt wird das auf die 
*primäre* IP-Adresse "gemappt", der Daemon lauscht also im Falle 
von xmpp.uugrn.lan auf 10.253.1.8:22:

--------------------------------------------
root_at_xmpp:~ # sockstat -l | grep sshd
root     sshd       12895 3  tcp4   10.253.1.8:22         *:*
--------------------------------------------

Im meiner ~/.ssh/config zu Hause habe ich an pasender Stelle folgenden
Abschnitt:

--------------------------------------------
Host *.uugrn.lan
        ProxyCommand nc -X 5 -x 127.0.0.1:1081 %h %p 
--------------------------------------------


... wobei bei mit 1081 der SOCKS5-Port ist, der auf shell.uugrn.org/lan
zeigt.



Und so nutze ich das dann: Von meiner Workstation aus kann ich mich 
nun also sehr bequem und ohne umständliche Parameter direkt auf z.B. 
"xmpp.uugrn.lan" einloggen:

--------------------------------------------
rabe_at_rabox:~$ ssh xmpp.uugrn.lan
Last login: Tue Nov 17 12:51:51 2015 from shell.uugrn.lan
FreeBSD 10.2-RELEASE (GENERIC) #0 r286666: Wed Aug 12 15:26:37 UTC 2015

Welcome to FreeBSD!
[…]
Connection to xmpp.uugrn.lan closed.
--------------------------------------------

Und weil die ~/.ssh/config für alle ssh-Commands berücksichtigt wird
klappt das auch mit scp, sftp, rsync, sshfs und sonstigen Tools, die 
intern/transparent "ssh" für den Verbindungsaufbau verwenden.




3.3 Sprunghost für SSH in das heimische LAN (z.B. *.fritz.box)

Das geht natürlich auch für andere Setups etwa wenn man per SSH auf
einen Rechner im Heimnetz zugreifen möchte der keine eigene
Portweiterleitung im NAT-Router (zB Fritz!Box) hat.

In ~/.ssh/config steht dann sinngemäß
--------------------------------------------
Host home.jumper
        Hostname blafasel.myfritz.net
        Port 4722
        User meinusername
        DynamicForward 127.0.0.1:1080


Host *.fritz.box
        ProxyCommand nc -X 5 -x 127.0.0.1:1080 %h %p 
--------------------------------------------

Erklärung:

"home.jumper" ist hier ein logischer Name, den es im DNS oder in
/etc/hosts oder sonst nirgends geben muss. Für OpenSSH ist
"home.jumper" allerdings auf die nachfolgenden Parameter fixiert,
zB Dyn-DNS Namen des NAT-Routers oder die durchgereichte Portnummer für
den im LAN befindlichen always-on Rechner, der einen SSH-Daemon laufen
hat (also nicht der SSH-Port des NAT-Routers selbst!)


Die Nutzung ist dann super simpel:
--------------------------------------------
$ ssh -f -N home.jumper             # pseudo-Name!!
$ ssh anderekiste.fritz.box         # Rechner ohne eigenes PortForwarding
--------------------------------------------

1. Tunnel *aufbauen*:   DynamicForward 127.0.0.1:1080
2. Tunnel *nutzen*:     ProxyCommand nc -X 5 -x 127.0.0.1:1080 %h %p

… das wäre in dieser Einfachheit auch zum Beispiel für einen sshfs-mount
("FUSE") nutzbar ohne dass man groß mit Parametern rumfummeln muss.


Have fun!
Raphael

-- 
SMTP+XMPP:	rabe_at_uugrn.org oder rabe_at_sigsys.de 
OTR:		33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24	
PGP:		4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 01.12.2015

Dieses Archiv wurde generiert von hypermail 2.2.0 : 01.12.2015 CET