![\"\"](\"https:\/\/www.butschek.de\/wp-content\/uploads\/2008\/12\/terminal2.png\")
Sitzt man hinter einer restriktiven Firewall und m\u00f6chte tempor\u00e4r einen Dienst dort durch tunneln, nutze ich gern SSH auf einem im Internet erreichbaren Server. Damit kann ich beliebige Ports rein oder raus tunneln und Putty hilft mir auf jedem Windows System, dies einfach per Klick zu konfigurieren.<\/p>\n
Zum SSH-Tunnel hatte ich auch schon einen Artikel geschrieben: https:\/\/www.butschek.de\/2009\/05\/01\/ssh-tunnel-proxy\/<\/p>\n
Was in der Praxis leider ab und zu passiert: Ausgerechnet Port 22 ist geblockt, womit SSH nicht erreichbar ist. Den SSH-Port umlegen m\u00f6chte ich nicht, da sonst keiner der anderen Benutzer auf dem System SSH mehr findet.<\/p>\n
Eine einfache L\u00f6sung ist, auf dem Server mit Hilfe von iptables einen freien Port, der in der Firewall durchgelassen wird, auf Port 22 zu redirecten:<\/p>\n
iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 9443 -j REDIRECT --to-ports 22<\/pre>\nHier leite ich auf eth0 eingehende TCP Pakete von Port 9443 auf Port 22 um. 9443 ist oft eine gute Wahl, da viele Admins auf Port 9443 die Administration ihrer ESX-Server finden und daher den Port gern freischalten.<\/p>\n
Alternativ einfach hinter der Firewall mehrere Ports testen (oder den Firewall-Admin fragen) und wenn ein freier Port gefunden wurde, einfach diesen statt 9443 nutzen.<\/p>\n
Voil\u00e0, schon haben wir SSH wie gewohnt auf Port 22 und zus\u00e4tzlich auf einem weiteren Port und man kann den externen Server hinter der Firewall erreichen und seinen Tunnel aufbauen.<\/p>\n
PS: Ein weiteres Tool, auf das ich in diesem Zusammenhang hinweisen m\u00f6chte, ist sslh. Es erlaubt neben dem Webserver zus\u00e4tzlich SSH oder einen OpenVPN Tunnel auf dem gleichen Port laufen zu lassen. Nicht gut f\u00fcr hochfrequentierte Webserver, aber auf einem kleinen privaten Server l\u00e4uft das recht gut. Eine gute Anleitung bietet Nicolas hier: http:\/\/bernaerts.dyndns.org\/linux\/75-debian\/210-debian-sslh<\/p>\n
PPS: Eine GUTE Firewall mit Deep Packet Inspection kann \u00fcbrigens beide Tricks erkennen. Zum Gl\u00fcck f\u00fcr den Tunnel haben die meisten Firmen keine gute Firewalls… :-)<\/p>\n","protected":false},"excerpt":{"rendered":"
Sitzt man hinter einer restriktiven Firewall und m\u00f6chte tempor\u00e4r einen Dienst dort durch tunneln, nutze ich gern SSH auf einem im Internet erreichbaren Server. Damit kann ich beliebige Ports rein oder raus tunneln und Putty hilft mir auf jedem Windows System, dies einfach per Klick zu konfigurieren. Zum SSH-Tunnel hatte ich auch schon einen Artikel […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[107,106,45,66,70,108,75],"_links":{"self":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts\/1017"}],"collection":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/comments?post=1017"}],"version-history":[{"count":1,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts\/1017\/revisions"}],"predecessor-version":[{"id":1018,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts\/1017\/revisions\/1018"}],"wp:attachment":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/media?parent=1017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/categories?post=1017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/tags?post=1017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}