Hallo, ein kurze Frage zu ssh: Wir wollen hier einen SuSE PC aufbauen ueber den man sich per ssh von aussen (== Welt) hier einloggen kann, und ab dem man erst weiter per ssh zu unseren anderen Rechnern kommt. Direkt zwischen Rechner und Welt wollen wir aus Sicherheitsgruenden abschalten. Der ssh-Vorgang sieht also so aus: Welt-------ssh-----> PC -------ssh------> irgendein Rechner unserer domain Es waeren dann also 2 Einloggvorgaenge notwendig. Jetzt kommts: kann man irgendwie das scp "durchschleifen", sodass man uploads und downloads zwischen Welt und irgendeinem Rechner macht? Also sowas: Welt <---scp----ueber PC------scp------> irgendein Rechner unserer domain Der Befehl koennte in etwa so aussehen: scp user@PC@irgend_ein_Rechner:/xxxx/yyyyy . Fuer Telnet klappt sowas, aber offenbar nicht fuer scp. Weiss jemand etwas? Gruss und Dank, ulrich hiller Ulrich Hiller Max-Planck-Institut fuer Astronomie Koenigstuhl 17 69117 Heidelberg Germany phone +49 6221 528238 fax +49 6221 528246 email hiller@mpia.de
Hallo, ein kurze Frage zu ssh: Wir wollen hier einen SuSE PC aufbauen ueber den man sich per ssh von aussen (== Welt) hier einloggen kann, und ab dem man erst weiter per ssh zu unseren anderen Rechnern kommt. Direkt zwischen Rechner und Welt wollen wir aus Sicherheitsgruenden abschalten. Der ssh-Vorgang sieht also so aus:
Welt-------ssh-----> PC -------ssh------> irgendein Rechner unserer domain
Es waeren dann also 2 Einloggvorgaenge notwendig.
Jetzt kommts: kann man irgendwie das scp "durchschleifen", sodass man uploads und downloads zwischen Welt und irgendeinem Rechner macht? Also sowas:
Welt <---scp----ueber PC------scp------> irgendein Rechner unserer domain
Der Befehl koennte in etwa so aussehen: scp user@PC@irgend_ein_Rechner:/xxxx/yyyyy .
Fuer Telnet klappt sowas, aber offenbar nicht fuer scp. Weiss jemand etwas? Gruss und Dank, ulrich hiller
Ulrich Hiller Max-Planck-Institut fuer Astronomie Koenigstuhl 17 69117 Heidelberg Germany phone +49 6221 528238 fax +49 6221 528246 email hiller@mpia.de
Hallo! Ich bin mir da nicht sicher aber ist das nicht über Portforwarding zu erledigen? Weil wenn du einen freien Port des Routers auf den internen Rechner routen lässt. Also praktisch den port 10001 des GW auf den Port des internen PCs mit der IP 192.168.0.24 mit dem Port 22. Bei SuSE kann man das in der datei /etc/sysconfig/SuSEFirewall2 beispielsweise machen, da steht das auch gut beschrieben. Gruß Frank
Am Montag, 20. September 2004 16:49 schrieb Ulrich Hiller:
Hallo,
Hallo,
ein kurze Frage zu ssh: Wir wollen hier einen SuSE PC aufbauen ueber den man sich per ssh von aussen (== Welt) hier einloggen kann, und ab dem man erst weiter per ssh zu unseren anderen Rechnern kommt. Direkt zwischen Rechner und Welt wollen wir aus Sicherheitsgruenden abschalten. Der ssh-Vorgang sieht also so aus:
Welt-------ssh-----> PC -------ssh------> irgendein Rechner unserer domain
Es waeren dann also 2 Einloggvorgaenge notwendig.
Jetzt kommts: kann man irgendwie das scp "durchschleifen", sodass man uploads und downloads zwischen Welt und irgendeinem Rechner macht?
Ja, kann man (geht auf diese Weise sogar nicht nur mit scp, sondern auch mit vielen anderen Protokollen). Folgender beispielhafter Aufbau: sei Rechner "www" im Internet, "fw" der Firewall-Rechner, der vom Internet mit ssh kontaktiert wird, und "loc" der Rechner im lokalen Netz; die Namen der Benutzer auf den jeweiligen Rechnern seien "<Rechnername>_user" (falls sie nicht auf allen Rechnern gleich sind). Zuerst baust du einen SSH-Tunnel von www über fw nach loc auf: www_user@www:~> ssh -L2001:loc:22 fw_user@fw (Passwort von fw_user eingeben.) So wird Port 2001 (wichtig ist, dass der Port sonst unbenutzt ist; ohne Root-Rechte können nur hohe Ports angegeben werden) von Rechner www über fw an Port 22 (den Standard-ssh-Port; ggfs. anpassen) von loc geforwarded. Alles, was nun an Port 2001 von www geht, wird (ssh-)verschlüsselt zu fw geschickt und von dort unverschlüsselt weiter nach loc geleitet. Mit folgendem Befehl in einer zweiten Shell auf www kannst du nun die Datei "testfile" von Rechner loc auf Rechner www kopieren (in einer Zeile einzugeben): www_user@www:~> scp -P2001 loc_user@localhost:/pfad/auf/loc/zu/testfile /zielpfad/auf/www/ (Passwort von loc_user eingeben.) Vielleicht sind diese Kapitel aus "SSH, The Secure Shell" (O'Reilly) noch interessant: http://www.oreilly.com/catalog/sshtdg/chapter/ch08.html http://www.oreilly.com/catalog/sshtdg/chapter/ch11.html Vorteil gegenüber einem Port Forwarding mit der SuSEFirewall (wie von Frank beschrieben) ist, dass der Rechner loc weiterhin nicht direkt vom Internet aus kontaktiert werden kann.
Gruss und Dank, ulrich hiller
Hoffe, es hilft. Tschüs, Christian
participants (3)
-
Christian Schneider
-
Frank Hudl
-
Ulrich Hiller