mikrocontroller.net

Forum: PC Hard- und Software SSH Port Forwarding


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Simon (Gast)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Hallo

Ich habe einen Linux Server mit dem ich mich im lokalen Netzwerk mit 
Putty über den SSH Standard Port verbinde. Nun wollte ich die 
Möglichkeit einrichten, mich auch von außerhalb verbinden zu können. 
Dazu habe ich auf dem Zyxel Modem die angehängte Port Weiterleitung 
eingerichtet.

ipfingerprints.com/ zeigt nun Port 82 als offen an, ich kann mich per 
Putty - SSH Port 82 - aber trotzdem nicht verbinden. Woran kann das 
liegen?

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Linux-Server kennt die IP-Adresse Deines "Modems" (das dürfte eher 
ein Router sein) als Standardgateway resp. Router?

Akzeptiert Deine SSH-Installation auch Verbindungen von nichtlokalen 
Adressen (d.h. welchen, die nicht in 192.168.30.0/24 liegen)?

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Trigger Port klingt als wäre der nur dazu da, die Verbindung 
freizugeben. Diese muss dann vielleicht doch auf Port 22 erfolgen...

Btw: Wenn man einen SSH Server am Internet betreibt sollte man übrigens 
immer die Passwort Authentifizierung abschalten und nur das Public Key 
Verfahren erlauben. Alle SSH Server sind permanenten Hacking-versuchen 
ausgesetzt...

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
PS: Port Forwarding funktioniert meist nur von außerhalb. Wenn du es von 
einem Rechner im selben lokalen Netz testest funktioniert es 
typischerweise nicht.

Autor: Frank E. (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> PS: Port Forwarding funktioniert meist nur von außerhalb. Wenn du
> es von
> einem Rechner im selben lokalen Netz testest funktioniert es
> typischerweise nicht.

Also mal mit einem anderen Zugang (z.B. Handy -> Tethering) testen ...

Autor: Simon (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Frank E. schrieb:
> Also mal mit einem anderen Zugang (z.B. Handy -> Tethering)

hab ich gemacht und ging auf Anhieb. Komischerweise funktionierte danach 
auch der Zugang vom PC aus mit Putty...

versteh wer kann...


eine Frage noch, kann man in Putty einen Proxy definieren und so 
abspeichern dass jede Verbindung über diesen Proxy geht, ohne ihn 
jedesmal neu eingeben zu müssen?

Autor: Georg A. (georga)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Btw: Wenn man einen SSH Server am Internet betreibt sollte man übrigens
> immer die Passwort Authentifizierung abschalten und nur das Public Key
> Verfahren erlauben. Alle SSH Server sind permanenten Hacking-versuchen
> ausgesetzt...

Oder man macht fail2ban und das nicht mit den läppischen 10min Jail 
sondern gleich mit einem ganzen Tag oder so nach drei Fehlversuchen ;)

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Georg A. schrieb:
> Oder man macht fail2ban und das nicht mit den läppischen 10min Jail
> sondern gleich mit einem ganzen Tag oder so nach drei Fehlversuchen ;)

Das aber nur als zusätzliche Maßnahme (gegen DoS) - die eigentliche 
Sicherheit sollte aus der Public Key Authentifizierung kommen.

Autor: Georg A. (georga)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Das aber nur als zusätzliche Maßnahme (gegen DoS) - die eigentliche
> Sicherheit sollte aus der Public Key Authentifizierung kommen.

Damit kann man sich aber eben auch nur von eigenen Geräten einloggen. 
Das ist nicht immer hilfreich.

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Georg A. schrieb:
> Damit kann man sich aber eben auch nur von eigenen Geräten einloggen.

Na, jeder dem man Zugang geben möchte kann einem ja seinen Public Key 
schicken. Bei GitHub & Co funktioniert es ja genauso - man trägt seinen 
Public Key im Web-Interface ein und kann fortan per Key auf Git-Via-SSH 
zugreifen. Das ist sogar komfortabler, weil man kein Passwort eingeben 
muss, sofern man seinen private key nicht verschlüsselt hat.

Wenn man sich "unterwegs" von fremden Rechnern aus einloggen möchte, 
kann man seinen Key (verschlüsselt) per USB-Stick mitnehmen. Oder gleich 
so etwas nutzen: https://www.nitrokey.com/de

Autor: Stephan E. (loetzinn02)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Btw: Wenn man einen SSH Server am Internet betreibt sollte man übrigens
> immer die Passwort Authentifizierung abschalten und nur das Public Key
> Verfahren erlauben. Alle SSH Server sind permanenten Hacking-versuchen
> ausgesetzt...

Es klingt lachhaft, aber es wirkt Wunder: wenn man den SSH-daemon auf 
einen (unprivileged) anderen Port verschiebt, reduzieren sich solche 
Versuche auf Null. Seit ich das bei meinen Kandidaten gemacht habe, 
kamen außer meinen eigenen Anfragen keine mehr.
Natürlich schadet es nicht, wenn man trotzdem das public-key-Verfahren 
nutzt.

: Bearbeitet durch User
Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Stephan E. schrieb:
> Es klingt lachhaft, aber es wirkt Wunder: wenn man den SSH-daemon auf
> einen (unprivileged) anderen Port verschiebt, reduzieren sich solche
> Versuche auf Null.

Ich weiß. Aber auch das würde ich nur als zusätzliche Maßnahme sehen. 
Sonst verlässt man sich nur auf sein Glück.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.