itstrue
Goto Top

Putty Tunnel funktioniert nicht

Hallo,

ich habe unter Ubuntu auf meinem Webserver portainer installiert.
In der Firewall des Servers habe ich den Port 9000 nicht freigegeben. Stattdessen habe ich in Putty einen Tunnel eingerichtet, um nur bei bestehnder SSH Verbindung auf das Portainer GUI zugreifen zu können.

Schaut so aus:

unbenannt

Aber weder localhost:9000 noch 127.0.0.1:9000 funktionieren um auf das Portainer GUI zukommen.

Hatte das auf dem alten Server genauso gemacht, da gings.

Hab ich doch was übersehen, vergessen?

Danke

Content-Key: 2446899413

Url: https://administrator.de/contentid/2446899413

Printed on: February 22, 2024 at 05:02 o'clock

Member: NordicMike
NordicMike Apr 08, 2022 at 10:58:50 (UTC)
Goto Top
Funktioniert die Portainer GUI überhaupt?

ss -tuln|grep 9000
Member: itstrue
itstrue Apr 08, 2022 at 11:41:04 (UTC)
Goto Top
Zitat von @NordicMike:

Funktioniert die Portainer GUI überhaupt?

ss -tuln|grep 9000

Klar funktioniert das GUI, wenn ich den Port in der Firewall freigeben kann ich es unter IP:9000 erreichen. Was ja aber so nicht gewollt ist
Member: maretz
maretz Apr 08, 2022 at 12:57:02 (UTC)
Goto Top
ich würde als destination ggf. mal "127.0.0.1:9000" nutzen - weil du ja scheinbar auf deine public ip gehst... auf deinem zielserver ist aber ja vermutlich das ding unter localhost:9000 erreichbar.
Member: aqui
aqui Apr 08, 2022 at 13:40:10 (UTC)
Goto Top
Member: itstrue
itstrue Apr 08, 2022 at 20:46:53 (UTC)
Goto Top
@aqui:
Siehe mein Screenshot.

@ alle anderen: Statt der öffentlichen IP => 127.0.0.1:9000 oder die IP des Containers 172.17.0.2:9000 hat auch nix gebracht.

Habe gerade noch in der alten Verbindung zum alten Server, die noch in Putty gespeichert war, nachgesehen. Das war es auch die öffentlicheIP:9000

Komisch
Mitglied: 117471
117471 Apr 08, 2022 updated at 21:15:33 (UTC)
Goto Top
Hallo,

ist der Webserver an die IP gebunden? Kannst Du den Server direkt aus dem Remotenetz erreichen?

Läuft dort vielleicht ipfilters o.Ä.?

Ist der Zugriff via .htaccess oder der Webserverconfig (allow/deny) limitiert?

Gruß,
Jörg
Member: itstrue
itstrue Apr 08, 2022 at 21:44:19 (UTC)
Goto Top
ist der Webserver an die IP gebunden? => JA
Kannst Du den Server direkt aus dem Remotenetz erreichen? =>Ja

UFW und ein bad IP drop skript, meine IP ist aber nicht auf der Blacklist

Ist der Zugriff via .htaccess oder der Webserverconfig (allow/deny) limitiert? => Nein
Member: aqui
aqui Apr 09, 2022 updated at 08:29:28 (UTC)
Goto Top
Was sagt ein tcpdump auf den Port ? Kommt denn da überhaupt Port 9000 Traffic an ?
Mitglied: 1915348599
1915348599 Apr 09, 2022 updated at 08:27:38 (UTC)
Goto Top
In der Firewall des Servers habe ich den Port 9000 nicht freigegeben.
Ja wenn du den Port komplett dicht machst dann ist klar warum du dich nicht verbinden kannst, zumindest lokale Verbindungen sollte man in der Firewall erlauben (lo Interface)
Mitglied: 117471
117471 Apr 09, 2022 at 09:19:07 (UTC)
Goto Top
Hallo,

dann würde er ja auch nicht per LAN draufkommen.

Ich vermute irgendeinen Zusammenhang mit dem Quellnetz. Deshalb meine Ideen in Richtung deny/allow.

Denkbar ist natürlich auch, dass 9000 in einer lokalen Firewall nur für LAN freigeschaltet ist. Aber an so eine bewusst vorgenommene Konfiguration kann man sich ja erinnern face-smile

Bei Winschrottservern lohnt übrigens auch immer ein beherzter Blick auf die Netzwerkkategorie, der der Adapter zugeordnet ist.

Gruß,
Jörg
Mitglied: 1915348599
1915348599 Apr 09, 2022 updated at 10:38:57 (UTC)
Goto Top
Zitat von @117471:

Hallo,

dann würde er ja auch nicht per LAN draufkommen.
Kommt er ja auch nicht

Zitat von @itstrue:
Klar funktioniert das GUI, wenn ich den Port in der Firewall freigeben kann ich es unter IP:9000 erreichen. Was ja aber so nicht gewollt ist.

Er müsste in seiner Firewall nur das lo interface als src und dst für den Port freigeben und schon hat er das gewünschte.
iptables -I INPUT -i lo -p tcp --dport 9000 -j ACCEPT
Und dann in Putty ein L9000 auf die 127.0.0.1:9000 tunneln, feddisch. Funktioniert hier im Test einwandfrei!

Prpfen muss man halt auf welchen Interfaces/IPs der Dienst lauscht ob 0.0.0.0:9000 oder x.x.x.x:9000 macht hier einen Unterschied und muss man bezüglich Firewall-Regeln berücksichtigen!
Mitglied: 117471
117471 Apr 09, 2022 at 11:43:34 (UTC)
Goto Top
Hallo,

Zitat von @1915348599:

dann würde er ja auch nicht per LAN draufkommen.
Kommt er ja auch nicht

Doch, kann er. Zitat:

Kannst Du den Server direkt aus dem Remotenetz erreichen? =>Ja

Bitte so freundlich sein und vor dem Antworten jeden Buchstaben lesen face-wink

Gruß,
Jörg
Mitglied: 1915348599
1915348599 Apr 09, 2022 updated at 13:04:39 (UTC)
Goto Top
Zitat von @117471:

Hallo,

Zitat von @1915348599:

dann würde er ja auch nicht per LAN draufkommen.
Kommt er ja auch nicht

Doch, kann er. Zitat:

Kannst Du den Server direkt aus dem Remotenetz erreichen? =>Ja

Den "Server" selbst ja, aber auch den Port? 😉
Bitte so freundlich sein und vor dem Antworten jeden Buchstaben lesen face-wink
Dito :-P
Mitglied: 117471
117471 Apr 09, 2022 at 16:01:32 (UTC)
Goto Top
Hallo,

Zitat von @1915348599:

Den "Server" selbst ja, aber auch den Port?

Bitte mit den grundlegenden Begriffen der Computerbedienung vertraut machen:

In der Informatik ist ein Server (englisch server, wörtlich Diener oder Bediensteter, im weiteren Sinn auch Dienst[1][2]) ein Computerprogramm

Der Begriff bezieht sich grundsätzlich auf die Dienstleistung, alles Weitere ist funktional irrelevant und austauschbar.

Die Trennung ist u.A. im Schichtenmodell beschrieben.

Gruß,
Jörg
Member: Datax87
Datax87 Apr 09, 2022 at 16:33:12 (UTC)
Goto Top
Warum hast du denn als Ziel deines SSH-Tunnels "öffentliche IP-Adresse:9000" eingetragen?
Bekommst du überhaupt eine SSH-Verbindung aufgebaut, bei der du dich dann mit
User + Passwort einloggen kannst?

Vom Prinzip her verbindest du dich doch per "Putty" mit dem SSH-Server,
den du im Menü "Sessions" angegeben hast. In deinem Fall würde ich jetzt davon ausgehen
dass du dort die öffentliche IP-Adresse sowie den Port angeben musst,
über die du die Verbindung zu deinem SSH-Server aufbaust.

Unter "Connection" --> "SSH" --> "Tunnels" wird dann der SSH-Tunnel konfiguriert.

Dort wählst du dann "Local" aus (Local Port Forwarding), gibst als "Destination" die IP-Adresse sowie
den Port (in der Form IP-Adresse:Port) deiner Portainer-Installation an. Als "Source Port" gibst du dann
den Port an, über den du später per Webbrowser (localhost:SourcePort) die Verbindung zur Web-GUI von "Portainer"
aufbauen möchtest.

Auf deinem SSH-Server muss in der "sshd_config" die Option "AllowTcpForwarding" auf "yes" konfiguriert sein,
damit SSH-Tunnel hergestellt werden können.
Member: itstrue
Solution itstrue Apr 09, 2022 updated at 18:45:51 (UTC)
Goto Top
Danke
AllowTcpForwarding" auf "yes" => war die Lösung inkl reboot