Am Montag, 20. September 2004 16:49 schrieb Ulrich Hiller:
Hallo,
Hallo,
ein kurze Frage zu ssh: Wir wollen hier einen SuSE PC aufbauen ueber den man sich per ssh von aussen (== Welt) hier einloggen kann, und ab dem man erst weiter per ssh zu unseren anderen Rechnern kommt. Direkt zwischen Rechner und Welt wollen wir aus Sicherheitsgruenden abschalten. Der ssh-Vorgang sieht also so aus:
Welt-------ssh-----> PC -------ssh------> irgendein Rechner unserer domain
Es waeren dann also 2 Einloggvorgaenge notwendig.
Jetzt kommts: kann man irgendwie das scp "durchschleifen", sodass man uploads und downloads zwischen Welt und irgendeinem Rechner macht?
Ja, kann man (geht auf diese Weise sogar nicht nur mit scp, sondern auch mit vielen anderen Protokollen). Folgender beispielhafter Aufbau: sei Rechner "www" im Internet, "fw" der Firewall-Rechner, der vom Internet mit ssh kontaktiert wird, und "loc" der Rechner im lokalen Netz; die Namen der Benutzer auf den jeweiligen Rechnern seien "<Rechnername>_user" (falls sie nicht auf allen Rechnern gleich sind). Zuerst baust du einen SSH-Tunnel von www über fw nach loc auf: www_user@www:~> ssh -L2001:loc:22 fw_user@fw (Passwort von fw_user eingeben.) So wird Port 2001 (wichtig ist, dass der Port sonst unbenutzt ist; ohne Root-Rechte können nur hohe Ports angegeben werden) von Rechner www über fw an Port 22 (den Standard-ssh-Port; ggfs. anpassen) von loc geforwarded. Alles, was nun an Port 2001 von www geht, wird (ssh-)verschlüsselt zu fw geschickt und von dort unverschlüsselt weiter nach loc geleitet. Mit folgendem Befehl in einer zweiten Shell auf www kannst du nun die Datei "testfile" von Rechner loc auf Rechner www kopieren (in einer Zeile einzugeben): www_user@www:~> scp -P2001 loc_user@localhost:/pfad/auf/loc/zu/testfile /zielpfad/auf/www/ (Passwort von loc_user eingeben.) Vielleicht sind diese Kapitel aus "SSH, The Secure Shell" (O'Reilly) noch interessant: http://www.oreilly.com/catalog/sshtdg/chapter/ch08.html http://www.oreilly.com/catalog/sshtdg/chapter/ch11.html Vorteil gegenüber einem Port Forwarding mit der SuSEFirewall (wie von Frank beschrieben) ist, dass der Rechner loc weiterhin nicht direkt vom Internet aus kontaktiert werden kann.
Gruss und Dank, ulrich hiller
Hoffe, es hilft. Tschüs, Christian