Hallo Liste. Mich würde eure Meinung für folgende zwei Szenarien interessieren: Ziel ist es, einen ssh-Zugang von außen in ein LAN zu kriegen. 1. Ich habe einen dedizierten Rechner, auf dem nichts als sshd läuft. Auf diesen lasse ich von der Firewall alle Pakete auf Port 22 forwarden. Ergebnis: ich kann mich von außen auf diese Kiste und von dort weiter auf andere Maschinen im LAN einloggen, zB auf einen dort befindlichen Fileserver 2. Ich habe keinen dedizierten Rechner. Die Firewall leitet alle Pakete direkt auf eine Maschine (zB auf einen Fileserver), auf dem zusätzlich noch ein sshd läuft. 3. Wie 1., aber der dedizierte Rechner steht in einer DMZ. Unterscheiden sich die beiden Varianten prinzipiell? Zunächst würde ich sagen: ja, denn bei Var. 2 ist der Fileserver direkt dem Internet ausgesetzt. Aber: Wenn es jemand bei Var. 1 schafft, sich auf die dedizierte Maschine einzuloggen und dort root-Rechte zu kriegen, dann schafft er es auf demselben Weg auch auf die zweite Maschine. Und zu Var. 3 würde ich sagen: bringt gar nix, denn ich muß ja einen Weg von der DMZ ins LAN freischalten. Also kann ich auch gleich einen Login auf einen Rechner im LAN zulassen. Bitte um Meinungen oder Hinweise, wie das andernorts gelöst wird. -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net