Kommentare zu: SSH-Tunnel: Proxy über SSH http://www.butschek.de/2009/05/ssh-tunnel-proxy/ Blog von Michael Butschek Tue, 06 Jul 2010 19:49:07 +0000 http://wordpress.org/?v=2.9.1 hourly 1 Von: Butschek.de » OpenVPN einrichten http://www.butschek.de/2009/05/ssh-tunnel-proxy/comment-page-1/#comment-987 Butschek.de » OpenVPN einrichten Mon, 01 Feb 2010 08:01:35 +0000 http://www.butschek.de/?p=396#comment-987 [...] Artikel SSH-Tunnel: Proxy über SSH habe ich bereits über die Möglichkeit eines “Pseudo-VPNs” berichtet. Nun will ich [...] [...] Artikel SSH-Tunnel: Proxy über SSH habe ich bereits über die Möglichkeit eines “Pseudo-VPNs” berichtet. Nun will ich [...]

]]> Von: Mike http://www.butschek.de/2009/05/ssh-tunnel-proxy/comment-page-1/#comment-916 Mike Thu, 14 Jan 2010 07:07:58 +0000 http://www.butschek.de/?p=396#comment-916 Welcher Port benutzt wird spielt keine Rolle. Zu beachten wäre vielleicht nur, dass nicht jeder User Well-Known-Ports (< 1024) öffnen darf. Ansonsten, ob nun 2000, 9080 oder sonstwas ist egal, solange es nicht in Konflikt mit einem Port stehen, den vielleicht eine andere Applikation auf dem Client nutzen möchte. So, für (eventuell vorbeikommende) andere Leser dennoch kurz der beschriebene Weg: Vom Ubuntu-Client per ssh -L $PORT:localhost:80 $HOST verbinden, wobei $HOST der Apache-Server (IP oder Domain) und $PORT der lokale Port (frei wählbar) ist. Danach im Webbroswer http://localhost:XXX/ öffnen. Eventuell noch den <a href="#comment-143" rel="nofollow">ersten Kommentar oben sowie <a href="#comment-145" rel="nofollow">meine Antwort</a> kurz beachten, dann erklärt sich auch, wie man den Port (sogar inklusive Kompression) öffnet ohne danach ständig ein Termin offen haben zu müssen: ssh -C2Ntqf -L $PORT:localhost:80 $HOST Welcher Port benutzt wird spielt keine Rolle. Zu beachten wäre vielleicht nur, dass nicht jeder User Well-Known-Ports (< 1024) öffnen darf. Ansonsten, ob nun 2000, 9080 oder sonstwas ist egal, solange es nicht in Konflikt mit einem Port stehen, den vielleicht eine andere Applikation auf dem Client nutzen möchte.

So, für (eventuell vorbeikommende) andere Leser dennoch kurz der beschriebene Weg:

Vom Ubuntu-Client per ssh -L $PORT:localhost:80 $HOST verbinden, wobei $HOST der Apache-Server (IP oder Domain) und $PORT der lokale Port (frei wählbar) ist. Danach im Webbroswer http://localhost:XXX/ öffnen.

Eventuell noch den ersten Kommentar oben sowie meine Antwort kurz beachten, dann erklärt sich auch, wie man den Port (sogar inklusive Kompression) öffnet ohne danach ständig ein Termin offen haben zu müssen:

ssh -C2Ntqf -L $PORT:localhost:80 $HOST

]]> Von: Maxe http://www.butschek.de/2009/05/ssh-tunnel-proxy/comment-page-1/#comment-914 Maxe Wed, 13 Jan 2010 23:10:15 +0000 http://www.butschek.de/?p=396#comment-914 <a href="#comment-913" rel="nofollow">@Mike</a> Das ist ja noch viel besser! Danke, sehr gut erklärt. Der Server ist ein Apache auf Port 80 unter Debian squeeze und der Client ssh unter Ubuntu 9.10. Aber ein Beispiel brauchst du nicht nochmal aufzeigen. Das habe ich jetzt verstanden. Gibt es bestimmte Portbereiche, die für sowas zu bevorzugen sind? PS: Hiermit hast du einen neuen Abonnenten :P @Mike
Das ist ja noch viel besser! Danke, sehr gut erklärt.

Der Server ist ein Apache auf Port 80 unter Debian squeeze und der Client ssh unter Ubuntu 9.10.
Aber ein Beispiel brauchst du nicht nochmal aufzeigen. Das habe ich jetzt verstanden.

Gibt es bestimmte Portbereiche, die für sowas zu bevorzugen sind?

PS: Hiermit hast du einen neuen Abonnenten :P

]]> Von: Mike http://www.butschek.de/2009/05/ssh-tunnel-proxy/comment-page-1/#comment-913 Mike Wed, 13 Jan 2010 17:50:01 +0000 http://www.butschek.de/?p=396#comment-913 Beim dynamischen Portforwarding wie oben beschrieben bietet Putty dir einen SOCKS-Proxy an, den du im Browser eintragen kannst. Danach wird <a href="http://blog.simlau.net/2009/06/29/anonymes-surfen-mit-dem-firefox/" rel="nofollow">fast</a> der gesamter Browser-Datenverkehr über den SSH-Tunnel geschickt. Für deinen Fall scheint es mir aber einfacher, die Einstellung LOCAL zu wählen. Dabei stellt Putty einen lokalen Port (z.B. 10175) zur Verfügung, den du im Webbrowser dann mit http://localhost:10175/ öffnen kannst. Alle Anfragen dorthin werden durch den SSH-Tunnel geschickt und vom Server an das unter DESTINATION festgelegte Ziel geschickt. Beispiel-Einstellung für Putty: Source port: 10175 Destination: localhost:80 (*) Local Das gleiche läßt sich via SSH an der Konsole mit -L 10175:localhost:80 machen und bedeutet folgendes: Putty/SSH öffnet auf dem Client-Rechner den Port 10175. Alle Anfragen dorthin werden in durch den SSH-Tunnel zur Gegenstelle (=Server) geschickt und dort an localhost:80 geleitet. Kurz gesagt: Wenn ich im Browser http://localhost:10175/ öffne lande ich in Wirklichkeit auf dem Server auf Port 80. Dabei verhalte ich mich jedoch wie ein User von localhost, also als wäre ich direkt am Server. Eventuelle Firewalls hätte man damit auch umgangen. Vorteil dieser Methode: Es muss kein SOCKS-Proxy im Browser eingetragen werden. Aller Traffic geht den normalen Weg, nur den öffentlich nicht zugänglichen Webserver erreicht man über den SSH-Tunnel. <a href="#comment-911" rel="nofollow">@Maxe</a>: Wenn das nicht ganz klar war schreib mal, welche Systeme du zu Hause und am Server benutzt und auf welchem Port dein Webserver läuft, dann kann ich das Beispiel auf deinen Fall beziehen. Beim dynamischen Portforwarding wie oben beschrieben bietet Putty dir einen SOCKS-Proxy an, den du im Browser eintragen kannst. Danach wird fast der gesamter Browser-Datenverkehr über den SSH-Tunnel geschickt.

Für deinen Fall scheint es mir aber einfacher, die Einstellung LOCAL zu wählen. Dabei stellt Putty einen lokalen Port (z.B. 10175) zur Verfügung, den du im Webbrowser dann mit http://localhost:10175/ öffnen kannst. Alle Anfragen dorthin werden durch den SSH-Tunnel geschickt und vom Server an das unter DESTINATION festgelegte Ziel geschickt.

Beispiel-Einstellung für Putty:

Source port: 10175
Destination: localhost:80
(*) Local

Das gleiche läßt sich via SSH an der Konsole mit -L 10175:localhost:80 machen und bedeutet folgendes:

Putty/SSH öffnet auf dem Client-Rechner den Port 10175. Alle Anfragen dorthin werden in durch den SSH-Tunnel zur Gegenstelle (=Server) geschickt und dort an localhost:80 geleitet.

Kurz gesagt: Wenn ich im Browser http://localhost:10175/ öffne lande ich in Wirklichkeit auf dem Server auf Port 80. Dabei verhalte ich mich jedoch wie ein User von localhost, also als wäre ich direkt am Server. Eventuelle Firewalls hätte man damit auch umgangen.

Vorteil dieser Methode: Es muss kein SOCKS-Proxy im Browser eingetragen werden. Aller Traffic geht den normalen Weg, nur den öffentlich nicht zugänglichen Webserver erreicht man über den SSH-Tunnel.

@Maxe: Wenn das nicht ganz klar war schreib mal, welche Systeme du zu Hause und am Server benutzt und auf welchem Port dein Webserver läuft, dann kann ich das Beispiel auf deinen Fall beziehen.

]]> Von: Maxe http://www.butschek.de/2009/05/ssh-tunnel-proxy/comment-page-1/#comment-911 Maxe Wed, 13 Jan 2010 11:50:06 +0000 http://www.butschek.de/?p=396#comment-911 <a href="#comment-910" rel="nofollow">@Mike</a> Der Server befindet sich hinter einem NAT-Router, durch den ich bewusst nicht irgendwelche Ports weiterleite, sondern nur 22. Wenn ich dich falsch verstanden habe, bitte ich dich, das etwas genauer zu erklären, da ich vom "Netzwerken" keine große Ahnung habe. (Deswegen ist mein Server auch nur über Port 22 erreichbar. Potenzielle Sicherheitslücken so klein wie möglich halten, you know.) @Mike
Der Server befindet sich hinter einem NAT-Router, durch den ich bewusst nicht irgendwelche Ports weiterleite, sondern nur 22.

Wenn ich dich falsch verstanden habe, bitte ich dich, das etwas genauer zu erklären, da ich vom “Netzwerken” keine große Ahnung habe. (Deswegen ist mein Server auch nur über Port 22 erreichbar. Potenzielle Sicherheitslücken so klein wie möglich halten, you know.)

]]>