SSH Tunnel mit iptables

cscholz
Ich habe einen Debian Server über den ich per SSH zugreife. Zur Absicherung verwende ich iptables.
SSH habe ich dabei freigeschaltet.


Ich komme auch mit SSH drauf, aber ich kann kein Portforwarding betreiben obwohl ich es in der sshd_config aktiviert habe (AllowTcpForwarding yes).

Sobald ich alle iptables Regeln wieder entfernen geht es.
Woran liegt das? Habe ich etwas vergessen?
Der SSH-Server hängt hinter einem Router. Muss ich NAT noch erlauben? Wenn ja, wie...

Beschäftige mich noch nicht so lange mit iptables.

Content-Key: 34778

Url: https://administrator.de/contentid/34778

Ausgedruckt am: 23.01.2022 um 00:01 Uhr

Mitglied: Beagle
Beagle 24.06.2006 um 11:34:22 Uhr
Goto Top
NAT aktivierst du so:
echo 1 > /proc/sys/net/ipv4/ip_forward
Das ist aber bei SSH Tunnel IMHO nicht notwendig.

Du musst aber auch die Antworten wieder rauslassen also eine entsprechende OUTPUT Regel erstellen. Irgendwie so denke ich:
iptables -A OUTPUT ... -m state --state ESTABLISHED,RELATED -j ACCEPT
Mitglied: cscholz
cscholz 24.06.2006 um 11:57:24 Uhr
Goto Top

funktioniert auch nicht.

Ausgehender Verkehr über Port 22 funktioniert doch aber, sonst könnte ich ja per SSH auf dem System nicht arbeiten, oder?
Mitglied: Beagle
Beagle 24.06.2006 um 13:14:38 Uhr
Goto Top
Ich hab jetzt leider keine Möglichkeit um es zu testen.
Wenn ich dich richtig verstehe kommst du auf den Server rauf, aber auf das Gerät auf das du einen Tunnel machst antwortet nicht, wenn du deine Regeln setzt?

Die Antwort Regel muss dann auch in FORWARD Chain. ^^;
Versuch es mal mit dieser, einschränken kannst du dann immer noch ...ich bin nämlich nicht sicher ob die Antworten auch über 22 laufen?!?
$IPTABLES -A FORWARD -o $LAN_INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

Mir ist nur nicht klar warum es gehen soll wenn du die Regeln löschst ?!?
Mitglied: cscholz
cscholz 24.06.2006 um 14:06:10 Uhr
Goto Top
Manchmal denkt man nur bis zum nächsten Baum.

SSH hatte ich erlaubt
Aber nicht den Verkehr in das eigenen Netz. Wenn ich dem eigenen Netz vertraue, dann geht es...

Was mir noch nicht ganz klar ist, ist wenn ich mich per SSH auf den Server verbinde und dann über den Tunnel den Port 3389 eines Clients auf meinen lokalen 13389 umleiten. Welchen Port muss ich dann intern kommen auf den SSH Server freigeben?

ext ----- Port 22 -----> SSH-Server ----- Port 3389 -----> Client
ext <----- Port 22 ----- SSH-Server <----- Port ____ ----- Client
Mitglied: Beagle
Beagle 24.06.2006 um 16:02:49 Uhr
Goto Top
Was mir noch nicht ganz klar ist, ist wenn
ich mich per SSH auf den Server verbinde und
dann über den Tunnel den Port 3389 eines
Clients auf meinen lokalen 13389 umleiten.
Welchen Port muss ich dann intern kommen auf
den SSH Server freigeben?

Für den Tunnel sollte man eigentlich gar nichts freigeben müssen, das erledigt erledigt SSH für dich.
Mitglied: cscholz
cscholz 24.06.2006 um 16:19:03 Uhr
Goto Top
Der SSH-Server leitet doch den Port 3389 des Clients in den Tunnel hinein. Über welchen Port geschieht dies?
Nimmt der Server dafür einen Zufälligen Port? Port 22 kann es ja nicht sein, der ist freigegeben. 3389 oder 13389 ist es auch nicht. Habe ich auch versucht.

Ich habe jetzt im internen Netz erstmal alles freigegeben. Soll aber nicht die Endlösung sein.
Wenn ich mich nun per RDP über den Tunnel verbinde und anschließend mit netstat -p mir die Verbindungen anzeigen lasse steht dort:


Also ist es doch ein Zufälliger Port oder nicht...

Verstehe die Arbeitsweise nicht so ganz.

Trotzdem schonmal danke an Beagle für die Hilfe & Geduld bis hierhin! :-) face-smile
Mitglied: Beagle
Beagle 24.06.2006 um 18:05:42 Uhr
Goto Top
Genau kann ich es leider auch nicht erklären, aber es wird wie bei einem Webserver sein wo die Kommunikation auch über Ports > 1024 läuft. Und ich bin immer noch der Meinung, dass du die oben geschriebene FORWARD Regel brauchst ...da ansonsten z.B. auch keine WWW-Verbindungen von Clients in deinem Netz nach aussen zustande kommen.
Mitglied: cscholz
cscholz 25.06.2006 um 13:03:22 Uhr
Goto Top
Man muss den für den ausgehenden Verkehr die Ports 1024:65535 öffnen


Kann also geschlossen werden.
Nochmals danke an Beagle . . .
Heiß diskutierte Beiträge
question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

question
Verständnisproblem SubnettingKarolaVor 23 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...

question
Alternative für MS TeamsBlackDevilVor 12 StundenFrageVideo & Streaming4 Kommentare

Servus Zusammen, ich arbeite eigentlich grundsätzlich remote, was eben auch Kundengespräche und -beratung inkludiert. Bisher mache ich das über MS Teams, was im Grundsatz auch ...

question
Analog Telefonanschluss aufs Netzwerk bringenpeter91gVor 19 StundenFrageISDN & Analoganschlüsse10 Kommentare

Hallo zusammen, ich habe aktuell ein Router von meinem Provider welcher im Bridge-Modus geschalten ist. Dadurch kann ich die Festnetztelefonie nur über den Analog-Anschluss am ...

question
Syntax zum Mappen einer Freigabe auf einem RDSHmtcmtcVor 14 StundenFrageNetzwerke12 Kommentare

Hallo zusammen, ich starte normalerweise eine rdp-Datei um mich vom HomeOffice auf meinen RDSH-Client in der Firma zu verbinden. -> also kein Problem Auf diesem ...