7
SSH-Tunnel funktioniert nur teilweise
Ich habe ein Problem mit einer SSH-Verbindung zu meinem ROOT-Server.
Ich habe mir für den Internet-Zugang in der Firma einen SSH-Tunnel eingerichtet.
Das habe ich per PuTTY (Portable) und Firefox (Portable) realisiert.
Bei mir funktioniert es auch super, allerdings bei einem Kollegen nicht mehr.
Auch bei ihm hat es funktioniert, doch er bekommt keine Verbindung mehr zum Server.
Er hat einen neuen Computer bekommen, danach ging es nicht mehr.
Nun waren wir davon ausgegangen dass auf dem neuen Computer eventuell ein Programm installiert ist,
welches den Zugriff auf meinen Server blockt. Das kann aber auch nicht der Fall sein, da es auch über seinen
privaten Laptop nicht funktioniert (trozt bestehender Internetverbindung über das Firmennetz).
Bei mir funktioniert alles einwandfrei.
Dann haben wir noch ein paar Dinge ausgeschlossen:
- Nur ein Login für den tunnel-User am ROOT erlaubt?
Nein, ich habe mich abgemeldet am ROOT, ging bei ihm dennoch nicht
- Sperre nur an diesem Anschluss im Firmennetz?
Nein, haben die LAN-Kabel unserer Computer getauscht, ging immer noch nicht.
Ich bin mit meinem Latein am Ende und hoffe von euch hat jemand eine Idee.
Noch ein paar Informationen:
OS in der Firma: Win XP Prof SP3
OS Server: Linux Debian Lenny
SSH-Tunnel lokal auf Port 7070
Wenn noch was fehlt, bitte schreibts, ich ergänze dann nach bestem Wissen und Gewissen =)
mfg und Danke im Vorraus,
ParanoidNerd
EDIT: Ping zum Server kommt auch nicht durch.
Das habe ich per PuTTY (Portable) und Firefox (Portable) realisiert.
Bei mir funktioniert es auch super, allerdings bei einem Kollegen nicht mehr.
Auch bei ihm hat es funktioniert, doch er bekommt keine Verbindung mehr zum Server.
Er hat einen neuen Computer bekommen, danach ging es nicht mehr.
Nun waren wir davon ausgegangen dass auf dem neuen Computer eventuell ein Programm installiert ist,
welches den Zugriff auf meinen Server blockt. Das kann aber auch nicht der Fall sein, da es auch über seinen
privaten Laptop nicht funktioniert (trozt bestehender Internetverbindung über das Firmennetz).
Bei mir funktioniert alles einwandfrei.
Dann haben wir noch ein paar Dinge ausgeschlossen:
- Nur ein Login für den tunnel-User am ROOT erlaubt?
Nein, ich habe mich abgemeldet am ROOT, ging bei ihm dennoch nicht
- Sperre nur an diesem Anschluss im Firmennetz?
Nein, haben die LAN-Kabel unserer Computer getauscht, ging immer noch nicht.
Ich bin mit meinem Latein am Ende und hoffe von euch hat jemand eine Idee.
Noch ein paar Informationen:
OS in der Firma: Win XP Prof SP3
OS Server: Linux Debian Lenny
SSH-Tunnel lokal auf Port 7070
Wenn noch was fehlt, bitte schreibts, ich ergänze dann nach bestem Wissen und Gewissen =)
mfg und Danke im Vorraus,
ParanoidNerd
EDIT: Ping zum Server kommt auch nicht durch.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151460
Url: https://administrator.de/contentid/151460
Printed on: May 24, 2024 at 05:05 o'clock
7 Comments
Latest comment
du erwartest jetzt also hier das wir dir erklären wie du die Firmen-Firewall umgehst, ja? Und wie du dann mit deinem Tunnel die schönsten Probleme im Firmennetz erzeugen kannst...
Hmm - irgendwie glaub ich das ich das nicht will...
Hmm - irgendwie glaub ich das ich das nicht will...
Zitat von @aqui:
Ob was fehlt oder nicht sagt dir dieses Tutorial:
VPN für Arme - TCP in SSH tunneln mit Putty
Ob was fehlt oder nicht sagt dir dieses Tutorial:
VPN für Arme - TCP in SSH tunneln mit Putty
Vielen Dank, ich lese mich mal durch!
Zitat von @maretz:
du erwartest jetzt also hier das wir dir erklären wie du die Firmen-Firewall umgehst, ja? Und wie du dann mit deinem Tunnel
die schönsten Probleme im Firmennetz erzeugen kannst...
Hmm - irgendwie glaub ich das ich das nicht will...
du erwartest jetzt also hier das wir dir erklären wie du die Firmen-Firewall umgehst, ja? Und wie du dann mit deinem Tunnel
die schönsten Probleme im Firmennetz erzeugen kannst...
Hmm - irgendwie glaub ich das ich das nicht will...
And another useless Post ... Thank you very much ... :>
Wenn du nicht helfen willst dann lass es doch einfach, wie wär das?
Und wie ich im Netz Probleme verursachen kann,
indem ich eine sicherere Verbindung aufbaue musst mir bei Gelegenheit mal erklären *g*
Hallo,
wenn du der Admin des Netzes bist solltest du das wissen...
Wenn du nicht der Admin diese Netzes bist dann solltest ud von Irgendwelchen VPN Tunneln lieber die Finger lassen.
brammer
wenn du der Admin des Netzes bist solltest du das wissen...
Wenn du nicht der Admin diese Netzes bist dann solltest ud von Irgendwelchen VPN Tunneln lieber die Finger lassen.
brammer
Nun - gerne. Die Erklärung ist nämlich einfach:
a) Du sorgst mit sowas in der Firewall ggf. für einen Alarm -> der Admin muss also gucken was da los ist und ggf. sogar das Netz auf Schad-Software scannen...
Denn woher soll der wissen das du ABSICHTLICH die Firewall unterläufst? (Wenn der das rausfindet wird der sich schon gepflegt bei dir melden...)
b) Noch viel besser: Du tunnelst ja durch die Firewall für einen Dienst. Es macht ja keinen Sinn das du nen Tunnel aufbaust durch den keine Daten laufen, oder? Nun - nehmen wir an du möchtest deine (privaten) Mails lesen - und jemand schickt dir nen Virus. Du öffnest die Mail -> Feierabend am PC! Und ein Virenscanner arbeitet nur passiv - d.h. wenn es ein neuer Virus ist dann wird der noch nicht erkannt weil die Signatur-Updates noch nicht durch sind... Oder du surfst auf irgendwelchen Webseiten. Dabei unterstelle ich dir sogar das es nur seriöse Zeitungen sind. Leider lädt eine dieser Seiten den Banner von einem gehackten Server -> und du hast schon einen Scriptvirus o.ä. gestartet. Der Firmenproxy der dich da schützen würde (da er eben solche Inhalte blockt) ist ja nutzlos - da umgangen!
Von daher ist es gar nicht so schwer sich zu überlegen WAS man da an störungen erzeugen kann. Und nur mal als Hinweis: Einen Tunnel aufbauen dürfte wohl als grob fahrlässig zählen WENN was passiert. D.h. fristlose Kündigung und / oder Schadensersatzforderungen haben eine gute Chance da direkt durchzukommen. Und jetzt leg mal kurz euer Netz für ne Std. lahm, überlege wieviel du an Kosten verursacht hat (Anzahl der Angestellten * 1 Std + Zeit die der Admin für Untersuchung und Problembehebung benötigt). Kannst du mir jetzt EINE Sache sagen die so wichtig ist das man dafür derart viel Geld riskiert?
Es geht nicht darum ob deine Verbindung "sicher" ist. Denn die ist nur dagegen gesichert das jemand den Traffic mitschneidet. Der Kram der über die Verbindung geht ist dafür nen offenes Scheunentor für jeden Angriff - und eleganterweise (für jeden Angreiffer) auch noch vor Firmen-Firewalls,IDS usw. gesichert... Und hey, die meisten Admins sichern ihre Systeme nach aussen hin richtig gut - aber gegen Angriffe von innen sind die zimlich wehrlos... Einfacher geht es für nen Angreiffer also gar nicht mehr...
a) Du sorgst mit sowas in der Firewall ggf. für einen Alarm -> der Admin muss also gucken was da los ist und ggf. sogar das Netz auf Schad-Software scannen...
Denn woher soll der wissen das du ABSICHTLICH die Firewall unterläufst? (Wenn der das rausfindet wird der sich schon gepflegt bei dir melden...)
b) Noch viel besser: Du tunnelst ja durch die Firewall für einen Dienst. Es macht ja keinen Sinn das du nen Tunnel aufbaust durch den keine Daten laufen, oder? Nun - nehmen wir an du möchtest deine (privaten) Mails lesen - und jemand schickt dir nen Virus. Du öffnest die Mail -> Feierabend am PC! Und ein Virenscanner arbeitet nur passiv - d.h. wenn es ein neuer Virus ist dann wird der noch nicht erkannt weil die Signatur-Updates noch nicht durch sind... Oder du surfst auf irgendwelchen Webseiten. Dabei unterstelle ich dir sogar das es nur seriöse Zeitungen sind. Leider lädt eine dieser Seiten den Banner von einem gehackten Server -> und du hast schon einen Scriptvirus o.ä. gestartet. Der Firmenproxy der dich da schützen würde (da er eben solche Inhalte blockt) ist ja nutzlos - da umgangen!
Von daher ist es gar nicht so schwer sich zu überlegen WAS man da an störungen erzeugen kann. Und nur mal als Hinweis: Einen Tunnel aufbauen dürfte wohl als grob fahrlässig zählen WENN was passiert. D.h. fristlose Kündigung und / oder Schadensersatzforderungen haben eine gute Chance da direkt durchzukommen. Und jetzt leg mal kurz euer Netz für ne Std. lahm, überlege wieviel du an Kosten verursacht hat (Anzahl der Angestellten * 1 Std + Zeit die der Admin für Untersuchung und Problembehebung benötigt). Kannst du mir jetzt EINE Sache sagen die so wichtig ist das man dafür derart viel Geld riskiert?
Es geht nicht darum ob deine Verbindung "sicher" ist. Denn die ist nur dagegen gesichert das jemand den Traffic mitschneidet. Der Kram der über die Verbindung geht ist dafür nen offenes Scheunentor für jeden Angriff - und eleganterweise (für jeden Angreiffer) auch noch vor Firmen-Firewalls,IDS usw. gesichert... Und hey, die meisten Admins sichern ihre Systeme nach aussen hin richtig gut - aber gegen Angriffe von innen sind die zimlich wehrlos... Einfacher geht es für nen Angreiffer also gar nicht mehr...
Der Firmenproxy der dich da schützen würde (da er eben solche Inhalte blockt) ...
... wird durch die Sicherheitssoftware auf meinen Server ersetzt, welchen Server ich da nun nutze, den Firmenserver oder meinen eigenen ist Wurst ...
Aber ok, ich brauche nichtmal Hilfe dabei einen Tunnel zu erstellen, das hab ich bereits gemacht ... (ob nun gut oder schlecht sei mal dahin gestellt)
Aber wieso funktioniert der nur auf meinem Computer? Das ist die Frage die eigentlich entscheidend ist...
Und darauf konntest du mir noch keine Antwort geben ...
falsch - darauf WOLLTE ich dir keine Antwort geben... Denn das ist nen großer Unterschied. Du glaubst also das es "wurst" is auf welchem System die Sicherheits-SW liegt? Das zeigt ehrlich gesagt das du dich nicht sonderlich auskennst.
Nehmen wir nur mal nen normalen Virus. Dein Firmenproxy blockt ggf. einfach ausführbare Dateien -> egal ob mit oder ohne Virus. Nebenbei läuft der z.B. mit geringeren Rechten oder auf einer Plattform die != Windows ist. Schon ist für 99,99% der Viren eh feierabend - weil die mit Linux z.B. nichts anfangen können (das System könnte keine exe von Windows ausführen - selbst wenn es das wollte!). Oder weil der Proxy eben gar keine Rechte im System hat. DU startest aber mit deinen User-Rechten den Browser, den Download und was auch immer. Und damit hat ein evtl. vorhandenes Schadprogramm DEINE Rechte im System. Na, wo ist da wohl der Unterschied?
Und selbst nen Script-Virus: Der Proxy blockt ggf. das ganze Script weil der Admin das Untersagt hat. Den intressiert nicht ob das gut oder böse ist -> Admin hat "nein" zum DL von *.js-Files gesagt also is nein... DU umgehst aber den Proxy - d.h. dieses "Nein" ist plötzlich egal. Und du hast den Browser mit deinen Rechten auf -> d.h. das Script kann auch mit deinen Rechten im System rumfummeln...
Zu guter letzt: Wer sagt dir das du deinen Server genauso sicher wie euer Admin eingerichtet hast?
Nur damit du glücklich bist: Es kann auch damit zusammenhängen das du andere Rechte oder z.B. in ner anderen FW-Gruppe bist als dein Kollege... Und mal gucken - wenn dein Admin das merkt dann kann es sein das du auch schnell in ner anderen Abteilung bist wie dein Kollege... der Abteilung mit den 3-5 Mio. Kollegen...
Nehmen wir nur mal nen normalen Virus. Dein Firmenproxy blockt ggf. einfach ausführbare Dateien -> egal ob mit oder ohne Virus. Nebenbei läuft der z.B. mit geringeren Rechten oder auf einer Plattform die != Windows ist. Schon ist für 99,99% der Viren eh feierabend - weil die mit Linux z.B. nichts anfangen können (das System könnte keine exe von Windows ausführen - selbst wenn es das wollte!). Oder weil der Proxy eben gar keine Rechte im System hat. DU startest aber mit deinen User-Rechten den Browser, den Download und was auch immer. Und damit hat ein evtl. vorhandenes Schadprogramm DEINE Rechte im System. Na, wo ist da wohl der Unterschied?
Und selbst nen Script-Virus: Der Proxy blockt ggf. das ganze Script weil der Admin das Untersagt hat. Den intressiert nicht ob das gut oder böse ist -> Admin hat "nein" zum DL von *.js-Files gesagt also is nein... DU umgehst aber den Proxy - d.h. dieses "Nein" ist plötzlich egal. Und du hast den Browser mit deinen Rechten auf -> d.h. das Script kann auch mit deinen Rechten im System rumfummeln...
Zu guter letzt: Wer sagt dir das du deinen Server genauso sicher wie euer Admin eingerichtet hast?
Nur damit du glücklich bist: Es kann auch damit zusammenhängen das du andere Rechte oder z.B. in ner anderen FW-Gruppe bist als dein Kollege... Und mal gucken - wenn dein Admin das merkt dann kann es sein das du auch schnell in ner anderen Abteilung bist wie dein Kollege... der Abteilung mit den 3-5 Mio. Kollegen...