3
Remote Ports für mehrere SSH Tunnel am Server festlegen
Hallo,
für ein Projekt schaue ich gerade wie ich mehrere Windows-PCs mit je einer Webseite mittels SSH Reverse Tunnel auf einem Gateway (Ubuntu LTS) verfügbar mache.
Die Seiten selber haben keine sensiblen oder personenbezogenen Daten.
Es sind primär aktuelle Temperaturwerte die Jemand hin und wieder nachschaut.
Das Gateway selber ist nicht öffentlich erreichbar.
Die Webseiten kommen von Windows-PCs wo xampp mit PHP.
Diese PCs haben wechselnde IP-Adresse und sind meist hintern NATs.
Mittels PLink bauen diese PCs einen Tunnel auf.
LokalerPC1:80 -> SSH Tunnel -> gateway:3001 -> http://gatewayhostname:3001
LokalerPC2:80 -> SSH Tunnel -> gateway:3002 -> http://gatewayhostname:3002
LokalerPC3:80 -> SSH Tunnel -> gateway:3003 -> http://gatewayhostname:3003
PLink nutzt dafür Benutzer mit SSH Schlüsseln.
Jetzt kann es durch einen unbedachten Konfigurationsfehler passieren, dass PC2 sich nicht mit Port 3002 sondern mit Port 3001 verbindet. (An diesen PCs fummeln zu viele Leute rum).
Frage: Wie kann ich am Ubuntu-Gateway einem SSH-Benutzer einen bestimmten Port erlauben und alle andere Verbieten?
Benutzer Web3 darf nur Port 1003
Benutzer Web5 darf nur Port 1005
So dass die lokalen Ports am Windows-PC festgelegt werden und die Remote-Ports am Server.
Jemand eine Idee?
Stefan
für ein Projekt schaue ich gerade wie ich mehrere Windows-PCs mit je einer Webseite mittels SSH Reverse Tunnel auf einem Gateway (Ubuntu LTS) verfügbar mache.
Die Seiten selber haben keine sensiblen oder personenbezogenen Daten.
Es sind primär aktuelle Temperaturwerte die Jemand hin und wieder nachschaut.
Das Gateway selber ist nicht öffentlich erreichbar.
Die Webseiten kommen von Windows-PCs wo xampp mit PHP.
Diese PCs haben wechselnde IP-Adresse und sind meist hintern NATs.
Mittels PLink bauen diese PCs einen Tunnel auf.
LokalerPC1:80 -> SSH Tunnel -> gateway:3001 -> http://gatewayhostname:3001
LokalerPC2:80 -> SSH Tunnel -> gateway:3002 -> http://gatewayhostname:3002
LokalerPC3:80 -> SSH Tunnel -> gateway:3003 -> http://gatewayhostname:3003
PLink nutzt dafür Benutzer mit SSH Schlüsseln.
plink.EXE -N -R 3001:127.0.0.1:80Jetzt kann es durch einen unbedachten Konfigurationsfehler passieren, dass PC2 sich nicht mit Port 3002 sondern mit Port 3001 verbindet. (An diesen PCs fummeln zu viele Leute rum).
Frage: Wie kann ich am Ubuntu-Gateway einem SSH-Benutzer einen bestimmten Port erlauben und alle andere Verbieten?
Benutzer Web3 darf nur Port 1003
Benutzer Web5 darf nur Port 1005
So dass die lokalen Ports am Windows-PC festgelegt werden und die Remote-Ports am Server.
Jemand eine Idee?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6466959888
Url: https://administrator.de/contentid/6466959888
Printed on: May 4, 2024 at 23:05 o'clock
3 Comments
Latest comment
Eine Idee von mir. Kann man aus Seiten des Servers den Befehl den PLink senden prüfen und die Verbindung trennen wenn dieser einem nicht gefällt. bashrc wird auf dem Server bei einerm Verbindung von PLink nicht ausgeführt. Vieleicht aber was anderes was ich noch nicht gefunden habe?
Update:
Ohne "-n" wird eine sichtbare session gestartet und bashrc ausgeführt.
Weiß Jemand wie ich in BashRC den Tunnel-befehl ausgeben/ermitteln kann?
Update:
Man kann über iptables die Verbindung unterbinden.
Dabei wird der Port aber trotzdem blockiert.
Update:
hmmm.... nix gefunden.
Ich könnte über einen Cron "lsof -i -P -n | grep LISTEN" aufrufen um zu schauen welcher User welchen Port geöffnet hat.
Wenn Jemand einen falsche Port öffnen trenne ich den User und wen das wiederholt passiert sperre ich ihn.
Ist aber irgendwie nicht "elegant".
Update:
Ohne "-n" wird eine sichtbare session gestartet und bashrc ausgeführt.
Weiß Jemand wie ich in BashRC den Tunnel-befehl ausgeben/ermitteln kann?
Update:
Man kann über iptables die Verbindung unterbinden.
Dabei wird der Port aber trotzdem blockiert.
Update:
hmmm.... nix gefunden.
Ich könnte über einen Cron "lsof -i -P -n | grep LISTEN" aufrufen um zu schauen welcher User welchen Port geöffnet hat.
Wenn Jemand einen falsche Port öffnen trenne ich den User und wen das wiederholt passiert sperre ich ihn.
Ist aber irgendwie nicht "elegant".
Moin.
Würde ich statt mit SSH mit Wireguard machen. Da hat dann jeder Client seine fest zugewiesene IP und durch das Cryptokey-Routing auch nicht durch den User manipulierbar.
Cheers Briggs
Würde ich statt mit SSH mit Wireguard machen. Da hat dann jeder Client seine fest zugewiesene IP und durch das Cryptokey-Routing auch nicht durch den User manipulierbar.
Cheers Briggs
2
Moin,
wenn du das in großem Stil machen möchtest: rport.io
Da kann man alle möglichen Ports remote zugänglich machen. Lohnt aber vermutlich erst ab ein paar Rechnern mehr. Läuft aber sehr zuverlässig.
VG
wenn du das in großem Stil machen möchtest: rport.io
Da kann man alle möglichen Ports remote zugänglich machen. Lohnt aber vermutlich erst ab ein paar Rechnern mehr. Läuft aber sehr zuverlässig.
VG
