Mit der Option -D läßt sich ein Tunnel mit einer Gegenstelle aufbauen. Das funktioniert so: Der Client (z.B. der Arbeitsrechner) baut zuerst eine SSH-Verbindung mit einem Server auf und gibt dabei einen Port für den Tunnel an:
ssh -D 5000 user@host
SSH wird auf dem Client-Rechner nun auf Port 5000 einen SOCKS-Proxy zur Verfügung stellen und alle Anfragen dorthin an den Server weiterleiten. Somit erfolgt eine “Umleitung” aller Anfragen über den Server.
Auf dem Client kann man nun also den Firefox starten und im Menü Extras – Einstellungen – Erweitert – Netzwerk – Einstellungen die Einstellungen für den SOCKS-Proxy vornehmen:
(*) Manuelle Proxy Konfiguration SOCKS-Host: localhost Port: 5000 (*) SOCKS v5
So, nun noch kurz butschek.de/tools/ip/ öffnen und die IP-Adresse kontrollieren. Das sollte nun nicht mehr die vom Client, sondern die vom Server sein.
…das geht auch mit Putty unter Windows!
Windows-Benutzer können das gleiche ebenso einfach mit Putty erledigen:
Vor dem Aufbau der Verbindung links im Menü Connection – SSH – Tunnels wählen und dort unter Source Port den gewünschten lokalen SOCKS-Port (z.B. 5000) wählen. Dann unter Destination den Radio-Button auf Dynamic schalten (das ist wichtig, sonst geht es nicht!), erst danach auf ADD drücken.
Nun erscheint in der Liste der Forwarded ports der Eintrag “D 5000″. Nun kann die Verbindung wie gewohnt aufgebaut werden. Vorsicht, wer nun doppelt auf ein gespeichertes Profil klickt, löscht die Einstellungen! Hier also ZUERST Profil laden, dann Tunnel-Einstellungen machen, dann [Open] klicken.
Voila, fertig ist der SOCKS-Proxy-Tunnel! Natürlich muss Firefox (oder auch jedes andere Programm, welches einen SOCKS-Proxy nutzen kann und soll) auf den SOCKS-Proxy Port 5000 konfiguriert werden.
Übrigens: Putty erlaubt auch das Einrichten eines Tunnels NACHDEM die Verbindung aufgebaut wurde. Dazu das Programm-Menü öffnen (Putty-Symbol oben links in der Programmleiste), dort “change settings” wählen. Dann kommt man in den gewohnten Dialog.
Und wozu braucht man das?
- Öffnen von Ports, wenn Firewalls dies verhindern
- Umgehen von IP-Sperren
- Schnellerer Download durch andere Route
- Pseudo-VPN
- …
Man sollte sich nur bewußt darüber sein, dass der Einsatz zu illegalen Zwecken natürlich nicht gestattet ist. Sollte der eigene Arbeitgeber in senier Firewall-Policy bestimmte Sperren vorsehen, wäre das Umgehen dieser nicht nur ein Sicherheitsproblem, sondern auch ein Grund für eine Abmahnung. Das will ich nur gesagt haben.
Als Anregung fuer mehr Sicherheit und Performance https://www.digital-bit.ch/wiki/Sshproxy.sh
Danke für das Beispiel. Um’s kurz zu erläutern:
ssh -C2qtNf -D $PORT $HOST
$PORT war im Artikel oben die 5000
$HOST ist die Gegenstelle (Proxy-Server)
-C Kompression aktivieren
-2 SSH Version 2 benutzen
-Nt Pseudo-Terminal belegen, jedoch kein Kommando ausführen
-qf Keine Ausgabe, SSH in den Hintergrund schicken
Super Anleitung, ich danke dir!
Ich brauchte es um an die Weboberfläche meines torrent-Clients, der auf meinem Server zu Hause läuft, zu kommen. Diese soll aber über HTTP nur im lokalen Netz erreichbar sein. Also kam dein zuletzt genannter Zweck “Pseudo-VPN” zur Anwendung.
Hier hätte sogar eine einfache Port-Weiterleitung zum Zielport des Webservers genügt. Dann muss im Broswer kein SOCKS-Proxy eingetragen werden, der Webserver läßt sich dann über localhost:PORT ansprechen.
@Mike
Der Server befindet sich hinter einem NAT-Router, durch den ich bewusst nicht irgendwelche Ports weiterleite, sondern nur 22.
Wenn ich dich falsch verstanden habe, bitte ich dich, das etwas genauer zu erklären, da ich vom “Netzwerken” keine große Ahnung habe. (Deswegen ist mein Server auch nur über Port 22 erreichbar. Potenzielle Sicherheitslücken so klein wie möglich halten, you know.)
Beim dynamischen Portforwarding wie oben beschrieben bietet Putty dir einen SOCKS-Proxy an, den du im Browser eintragen kannst. Danach wird fast der gesamter Browser-Datenverkehr über den SSH-Tunnel geschickt.
Für deinen Fall scheint es mir aber einfacher, die Einstellung LOCAL zu wählen. Dabei stellt Putty einen lokalen Port (z.B. 10175) zur Verfügung, den du im Webbrowser dann mit http://localhost:10175/ öffnen kannst. Alle Anfragen dorthin werden durch den SSH-Tunnel geschickt und vom Server an das unter DESTINATION festgelegte Ziel geschickt.
Beispiel-Einstellung für Putty:
Source port: 10175
Destination: localhost:80
(*) Local
Das gleiche läßt sich via SSH an der Konsole mit -L 10175:localhost:80 machen und bedeutet folgendes:
Putty/SSH öffnet auf dem Client-Rechner den Port 10175. Alle Anfragen dorthin werden in durch den SSH-Tunnel zur Gegenstelle (=Server) geschickt und dort an localhost:80 geleitet.
Kurz gesagt: Wenn ich im Browser http://localhost:10175/ öffne lande ich in Wirklichkeit auf dem Server auf Port 80. Dabei verhalte ich mich jedoch wie ein User von localhost, also als wäre ich direkt am Server. Eventuelle Firewalls hätte man damit auch umgangen.
Vorteil dieser Methode: Es muss kein SOCKS-Proxy im Browser eingetragen werden. Aller Traffic geht den normalen Weg, nur den öffentlich nicht zugänglichen Webserver erreicht man über den SSH-Tunnel.
@Maxe: Wenn das nicht ganz klar war schreib mal, welche Systeme du zu Hause und am Server benutzt und auf welchem Port dein Webserver läuft, dann kann ich das Beispiel auf deinen Fall beziehen.
@Mike
Das ist ja noch viel besser! Danke, sehr gut erklärt.
Der Server ist ein Apache auf Port 80 unter Debian squeeze und der Client ssh unter Ubuntu 9.10.
Aber ein Beispiel brauchst du nicht nochmal aufzeigen. Das habe ich jetzt verstanden.
Gibt es bestimmte Portbereiche, die für sowas zu bevorzugen sind?
PS: Hiermit hast du einen neuen Abonnenten
Welcher Port benutzt wird spielt keine Rolle. Zu beachten wäre vielleicht nur, dass nicht jeder User Well-Known-Ports (< 1024) öffnen darf. Ansonsten, ob nun 2000, 9080 oder sonstwas ist egal, solange es nicht in Konflikt mit einem Port stehen, den vielleicht eine andere Applikation auf dem Client nutzen möchte.
So, für (eventuell vorbeikommende) andere Leser dennoch kurz der beschriebene Weg:
Vom Ubuntu-Client per ssh -L $PORT:localhost:80 $HOST verbinden, wobei $HOST der Apache-Server (IP oder Domain) und $PORT der lokale Port (frei wählbar) ist. Danach im Webbroswer http://localhost:XXX/ öffnen.
Eventuell noch den ersten Kommentar oben sowie meine Antwort kurz beachten, dann erklärt sich auch, wie man den Port (sogar inklusive Kompression) öffnet ohne danach ständig ein Termin offen haben zu müssen:
ssh -C2Ntqf -L $PORT:localhost:80 $HOST
Pingback: Butschek.de » OpenVPN einrichten
Pingback: SSH Proxy and SSH Port Forwarding | fstyle.de
Pingback: mautau blog » Einfaches tunneln mit SSH – MacOS Sidestep