Am Montag, 14. Juni 2004 21:10 schrieb Andreas Feile:

Hallo Liste.

Mich würde eure Meinung für folgende zwei Szenarien interessieren:

Ziel ist es, einen ssh-Zugang von außen in ein LAN zu kriegen.

1. Ich habe einen dedizierten Rechner, auf dem nichts als sshd läuft. Auf diesen lasse ich von der Firewall alle Pakete auf Port 22 forwarden. Ergebnis: ich kann mich von außen auf diese Kiste und von dort weiter auf andere Maschinen im LAN einloggen, zB auf einen dort befindlichen Fileserver

2. Ich habe keinen dedizierten Rechner. Die Firewall leitet alle Pakete direkt auf eine Maschine (zB auf einen Fileserver), auf dem zusätzlich noch ein sshd läuft.

3. Wie 1., aber der dedizierte Rechner steht in einer DMZ.

Unterscheiden sich die beiden Varianten prinzipiell? Zunächst würde ich sagen: ja, denn bei Var. 2 ist der Fileserver direkt dem Internet ausgesetzt. Aber: Wenn es jemand bei Var. 1 schafft, sich auf die dedizierte Maschine einzuloggen und dort root-Rechte zu kriegen, dann schafft er es auf demselben Weg auch auf die zweite Maschine.

Und zu Var. 3 würde ich sagen: bringt gar nix, denn ich muß ja einen Weg von der DMZ ins LAN freischalten. Also kann ich auch gleich einen Login auf einen Rechner im LAN zulassen.

Bitte um Meinungen oder Hinweise, wie das andernorts gelöst wird.

-- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen.

Andreas Feile www.feile.net

Hi Andreas, ich löse das bei mir gerade mit einem fli4l-router (noch im Aufbau) auf dem Router läuft ein sshd, auf dem ich mich von aussen einloggen kann. Von dem router kann ich mich dann weiter ins lan connecten ... Das ist wohl so ähnlich wie deine Version 1 Nis -- "We are the Borg. Lower your shields and surrender your ships. We will add your biological and technological distinctiveness to our own. Your culture will adapt to service us. Resistance is futile. We are the Borg." Registered Linux User #356067 http://counter.li.org