Hallo, als absolut Nichtwissender in Sachen iptables habe ich im Moment ein echtes Problem. Try und error ist in dem speziellen Fall keine Option. Folgende Konstellation internes Netz 192.168.5.x x x innere Firewall 192.168.5.168 192.168.0.168 x x DMZ Netz 192.168.0.x x x äussere Firewall 192.168.0.1 x x Internet In das DMZ-Netz komme ich per VPN und kann mich per ssh auch über die innere Firewall weiter ins innere Netz hangeln. Mein Problem: Ich brauche aber einen direkten ssh Zugriff auf ein internes System. Beide IPs sind bekannt. 1) die dich vom VPN Gateway in der DMZ zugewiesen bekomme 2) die des Zielsystems Wie könnte da eine iptables-Regel aussehen? Weiter möchte ich dieses "Schlupfloch" nur temporär öffen. Will sagen: 1) Ich melde mich an der internen Firewall an und öffne das Schlupfloch. Direkt oder Kommando per ssh 2) Nach x Stunden wird das "Schlupfloch" automatisch geschlossen. Das alles sollte kein Problem sein aber mit der iptabels Regel bräuchte ich Hilfe. Gruß und Dank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Mittwoch, 12. November 2008 um 16:36 (+0100) schrieb Ralf Prengel:
als absolut Nichtwissender in Sachen iptables habe ich im Moment ein echtes Problem. Try und error ist in dem speziellen Fall keine Option.
Folgende Konstellation
internes Netz 192.168.5.x x x innere Firewall 192.168.5.168 192.168.0.168 x x DMZ Netz 192.168.0.x x x äussere Firewall 192.168.0.1 x x Internet
In das DMZ-Netz komme ich per VPN und kann mich per ssh auch über die innere Firewall weiter ins innere Netz hangeln. Mein Problem: Ich brauche aber einen direkten ssh Zugriff auf ein internes System. Beide IPs sind bekannt. 1) die dich vom VPN Gateway in der DMZ zugewiesen bekomme 2) die des Zielsystems
Wie könnte da eine iptables-Regel aussehen?
Ich verstehe zwar nicht 100%-ig, was du hast (z.B. wo steht in obigem Schema das VPN-Gateway?) und was du willst (Was heisst "direkt"? Über das Internet oder durch den VPN-Tunnel?), aber vielleicht reicht simples DNAT auf der inneren Firewall: 'iptables -t nat -I PREROUTING 1 -p tcp --dport <In-Port> -j DNAT \ --to-destination <Ziel-IP>:22' und 'iptables -I FORWARD 1 -p tcp -s <Deine IP> -d <Ziel-IP> --dport 22 -j ACCEPT' <In-Port> ist ein freier Port auf der inneren Firewall, der dann als Zielport im ssh-Client angegeben werden muss. Vorraussetzung ist dabei, dass auch die Antwortpakete des Rechner mit der Ziel-IP richtig zum VPN-Gateway geroutet werden und durch die innere Firewall kommen. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Zitat von Andreas Koenecke <akoenecke@akoenecke.de>:
Hallo.
* Mittwoch, 12. November 2008 um 16:36 (+0100) schrieb Ralf Prengel:
als absolut Nichtwissender in Sachen iptables habe ich im Moment ein echtes Problem. Try und error ist in dem speziellen Fall keine Option.
Folgende Konstellation
internes Netz 192.168.5.x x x innere Firewall 192.168.5.168 192.168.0.168 x x DMZ Netz 192.168.0.x x x äussere Firewall 192.168.0.1 x x Internet
In das DMZ-Netz komme ich per VPN und kann mich per ssh auch über die innere Firewall weiter ins innere Netz hangeln. Mein Problem: Ich brauche aber einen direkten ssh Zugriff auf ein internes System. Beide IPs sind bekannt. 1) die dich vom VPN Gateway in der DMZ zugewiesen bekomme 2) die des Zielsystems
Wie könnte da eine iptables-Regel aussehen?
Ich verstehe zwar nicht 100%-ig, was du hast (z.B. wo steht in obigem Schema das VPN-Gateway?) und was du willst (Was heisst "direkt"? Ãber das Internet oder durch den VPN-Tunnel?), aber vielleicht reicht simples DNAT auf der inneren Firewall:
die externe Firewall ist gleichzeitig das VPN-Gaterway -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Mittwoch, 12. November 2008 um 21:53 (+0100) schrieb Ralf Prengel:
Zitat von Andreas Koenecke <akoenecke@akoenecke.de>:
* Mittwoch, 12. November 2008 um 16:36 (+0100) schrieb Ralf Prengel:
Wie könnte da eine iptables-Regel aussehen?
Ich verstehe zwar nicht 100%-ig, was du hast (z.B. wo steht in obigem Schema das VPN-Gateway?) und was du willst (Was heisst "direkt"? Ãber das Internet oder durch den VPN-Tunnel?), aber vielleicht reicht simples DNAT auf der inneren Firewall:
die externe Firewall ist gleichzeitig das VPN-Gaterway
OK, wenn du von außen durch den VPN-Tunnel die 192.168.0.168 erreichst ('ping' o.ä.), dann sollte es mit den beiden geposteten iptables-Zeilen und 'ssh -p <In-Port> user@192.168.0.168' funktionieren. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Don, 13 Nov 2008, Andreas Koenecke schrieb:
OK, wenn du von außen durch den VPN-Tunnel die 192.168.0.168 erreichst ('ping' o.ä.), dann sollte es mit den beiden geposteten iptables-Zeilen und 'ssh -p <In-Port> user@192.168.0.168' funktionieren.
Achso, die Iptables-Befehle zum Einfügen (-I KETTE NUM BEDINGUNGEN) könnte man in ein script (auf der FW) packen und die zum dichtmachen (-D KETTE BEDINGUNGEN) könnte man aus dem gleichen Script an at verfüttern per cat <<EOF | at 'now +2h' # (oder sowas) . iptables ... EOF HTH und nur als Anregung... -dnh -- Cats give a whole new meaning to the phrase "fuzzy logic". -- Seanette Blaylock, in nanae -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Andreas Koenecke -
David Haller -
Ralf Prengel