[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: SSH, Proxy, Privatsphaere?


Hallo zusammen,

ich habe hier noch zwei weitere Anwendungsbeispiele:

3.2: Jumphost fuer *.uugrn.lan
3.3: Jumphost fuer *.fritz.box (Heimnetz hinter einer Fritz!Box)




On Sun, Oct 18, 2015 at 07:43:30PM +0200, Raphael Eiselstein wrote:
> 3. Kombinierte Anwendungsfaelle zum Ausprobieren

3.2 shell.uugrn.org als SSH-Proxy fuer den Zugriff auf *.uugrn.lan

Wer ein UUGRN-Jailserver hat kann seinen SSH-Daemon auch relativ
paranoid so umkonfigurieren, dass er lediglich auf der *internen*
IP-Adresse lauscht. Das Jail ist dann ueber keine externe IP-Adresse mehr
erreichbar. 

Unter FreeBSD kann man das auch bequem in der rc.conf angeben und die 
sshd_config ansonsten unberuehrt lassen:

----[/etc/rc.conf]--------------------------
sshd_enable="YES"
sshd_flags="-o ListenAddress=127.0.0.1"
--------------------------------------------

Besonderheit: Da es in Jails kein 127.0.0.1 gibt wird das auf die 
*primaere* IP-Adresse "gemappt", der Daemon lauscht also im Falle 
von xmpp.uugrn.lan auf 10.253.1.8:22:

--------------------------------------------
root@xmpp:~ # sockstat -l | grep sshd
root     sshd       12895 3  tcp4   10.253.1.8:22         *:*
--------------------------------------------

Im meiner ~/.ssh/config zu Hause habe ich an pasender Stelle folgenden
Abschnitt:

--------------------------------------------
Host *.uugrn.lan
        ProxyCommand nc -X 5 -x 127.0.0.1:1081 %h %p 
--------------------------------------------


... wobei bei mit 1081 der SOCKS5-Port ist, der auf shell.uugrn.org/lan
zeigt.



Und so nutze ich das dann: Von meiner Workstation aus kann ich mich 
nun also sehr bequem und ohne umstaendliche Parameter direkt auf z.B. 
"xmpp.uugrn.lan" einloggen:

--------------------------------------------
rabe@rabox:~$ ssh xmpp.uugrn.lan
Last login: Tue Nov 17 12:51:51 2015 from shell.uugrn.lan
FreeBSD 10.2-RELEASE (GENERIC) #0 r286666: Wed Aug 12 15:26:37 UTC 2015

Welcome to FreeBSD!
[â?¦]
Connection to xmpp.uugrn.lan closed.
--------------------------------------------

Und weil die ~/.ssh/config fuer alle ssh-Commands beruecksichtigt wird
klappt das auch mit scp, sftp, rsync, sshfs und sonstigen Tools, die 
intern/transparent "ssh" fuer den Verbindungsaufbau verwenden.




3.3 Sprunghost fuer SSH in das heimische LAN (z.B. *.fritz.box)

Das geht natuerlich auch fuer andere Setups etwa wenn man per SSH auf
einen Rechner im Heimnetz zugreifen moechte der keine eigene
Portweiterleitung im NAT-Router (zB Fritz!Box) hat.

In ~/.ssh/config steht dann sinngemaess
--------------------------------------------
Host home.jumper
        Hostname blafasel.myfritz.net
        Port 4722
        User meinusername
        DynamicForward 127.0.0.1:1080


Host *.fritz.box
        ProxyCommand nc -X 5 -x 127.0.0.1:1080 %h %p 
--------------------------------------------

Erklaerung:

"home.jumper" ist hier ein logischer Name, den es im DNS oder in
/etc/hosts oder sonst nirgends geben muss. Fuer OpenSSH ist
"home.jumper" allerdings auf die nachfolgenden Parameter fixiert,
zB Dyn-DNS Namen des NAT-Routers oder die durchgereichte Portnummer fuer
den im LAN befindlichen always-on Rechner, der einen SSH-Daemon laufen
hat (also nicht der SSH-Port des NAT-Routers selbst!)


Die Nutzung ist dann super simpel:
--------------------------------------------
$ ssh -f -N home.jumper             # pseudo-Name!!
$ ssh anderekiste.fritz.box         # Rechner ohne eigenes PortForwarding
--------------------------------------------

1. Tunnel *aufbauen*:   DynamicForward 127.0.0.1:1080
2. Tunnel *nutzen*:     ProxyCommand nc -X 5 -x 127.0.0.1:1080 %h %p

â?¦ das waere in dieser Einfachheit auch zum Beispiel fuer einen sshfs-mount
("FUSE") nutzbar ohne dass man gross mit Parametern rumfummeln muss.


Have fun!
Raphael

-- 
SMTP+XMPP:	rabe@xxxxxxxxx oder rabe@xxxxxxxxx 
OTR:		33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24	
PGP:		4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/