» »

Požarni zid, RDP in SSH

Požarni zid, RDP in SSH

mojca ::

Živijo,

Certificiranega okenskega monterja/serviserja sem prosila za SSH dostop do dveh kišt z linuxom. Nakar dobim odgovor, da mi je odprl RDP.

Mi lahko kdo prosim razloži, ali in kako si s tem lahko pomagam? (Od zunaj moram v vsakem primeru uporabljati čudne porte, ker so mašine za NAT-om.) Na požarne zidove se ne spoznam. Stric google ima veliko povedati o tem, kako RDP preusmerjaš skozi SSH, ne pa obratno. Morda bi bilo dovolj, če bi ssh daemon na ciljnem računalniku poslušal na pravem portu?

de199 ::

nastavi, da ti sshd posluša na RDP portu.

Izbeglica ::

Dovolj bi bilo že, da bi ti na natu forwardiral port 22 na eno od teh dveh kišt. Potem si pa itak v omrežju in imaš načeloma dostop do vsega in delaš ssh naprej iz te kište.
Če želiš imeti direkten dostop do obeh kišt, potem daš drugo (ali pa tudi obe; včasih delaj to zardi varnosti, čeprav je to za moje pojme bolj security through obscurity) na nek random port. Nato na FW\routerju še tega forwardiraš.

BTW, če imaš odprt RDP, se z z RDP preko SSH povežeš na računalnik in nato na računalniku odpreš ssh klienta in se z njim povežeš na želen linux box.

Zgodovina sprememb…

mojca ::

Torej samo v sshd_config na ciljni mašini dodam "Port 3389" in bi načeloma moralo delati?

Izbeglica je izjavil:

BTW, če imaš odprt RDP, se z z RDP preko SSH povežeš na računalnik in nato na računalniku odpreš ssh klienta in se z njim povežeš na želen linux box.


Tega nisem razumela. (Dostopa do mrežne opreme nimam, tako da tam ne morem nastavljati ničesar.)

darkolord ::

Načeloma se skozi RDP ne preusmerja nobenega drugega prometa, ampak se ga uporabi za remote desktop. Verjetno ti je samo odprl remote desktop na eno mašino.

Zgodovina sprememb…

  • spremenilo: darkolord ()

mojca ::

Verjetno mi je res odprl remote desktop, vendar tega nočem uporabljati. Za začetek si recimo niti ne predstavljam, kako to stvar skonfiguriraš na mašini, ki niti X11 ali kakršnegakoli drugega grafičnega okolja nima nameščenega. Dvojna muka, ker bi morala to omogočiti tako na klientu kot na "strežniku", pri čemer na nobenem ni oken.

Zgolj zanimalo me je, ali lahko to vseeno uporabim za SSH, ne da bi se morala še en mesec pregovarjati z administratorjem, naj mi odpre še port 22.

ToniT ::

Na katero mašino pa ti je preusmeril RDP?
Praviš, da rabiš dostop do dveh mašin, kar pomeni, da bi moral odpreti dva porta. Ali pa boš najprej dostopala do ene mašine in potem preko te do druge?
Seveda se da uporabiti port 3389 za ssh.

mojca ::

Odprl je na obe mašini neposredno. Od zunaj je to isti IP in različna porta.

Hvala vsem. Bom nastavila, ko pridem do mašine in vprašala, če slučajno ne bi delalo.

mojca ::

Če bom želela biti zlobna, bom pa admina prosila, če mi lahko skonfigurira RDP na arduinotu. (To, kar imam trenutno, sicer ni arduino, mu je pa nedvomno bolj podobno kot PC-ju.)

(Pismo. Tako ima sprane možgane glede oken, da kar boli, potem pa za vsako figo reče, da ne more narediti, ker ni varno, vključno s POP3 in SMTP, pa naj bo s SSL-jem ali brez. Verjetno tudi zdaj ni odprl porta 22, ker to ni varno ...)

sensei ::

Če maš linux mašine za NATom potem rabiš odpret dva porta in vsakega preusmerit do ta prave linux mašine. Ena od mašin bo poslušala za SSH na nestandardnem portu, druga na 22.

Če ti je odprl RDP do win mašine, potem lahko od tam dostopaš do SSH, neke vrste security through obscurity :)

mojca ::

sensei je izjavil:

Če maš linux mašine za NATom potem rabiš odpret dva porta in vsakega preusmerit do ta prave linux mašine. Ena od mašin bo poslušala za SSH na nestandardnem portu, druga na 22.

Če ti je odprl RDP do win mašine, potem lahko od tam dostopaš do SSH, neke vrste security through obscurity :)


Odprl je RDP do dveh mašin pod mojim nadzorom. Hipotetično bi bilo možno na eni od njih zagnati windows, ampak potem bi se malenkost težko ssh-jala na linux na isti mašini.

Sicer pa se temu ne reče security through obscurity. To je "Ne bom ti dal ključa vhodnih vrat, ker je to nevarno, ti bom pa pustil odprto okno; skoči skozi okno v moje stanovanje in vzemi ključ v drugem predalu."

Prvi odstavek je pa čuden. Povedala sem, da mi ni odprl porta 22. In ne razumem, zakaj bi morali mašini poslušati na različnih portih.

NoName ::

mašini lahko poslušata na istem portu (22), saj je vsaka na svojem internem ipju, recimo 192.168.1.11:22 ter 192.168.1.12:22 ... ker pa so mašine za NAT-om (torej imaš en 'zunanji' IP ter nek RFC1918 subnet na LAN strani), bi moral tisti, ki se povezuje od zunaj, vedeti, na katera vrata se povezuje za katero izmed dveh mašin... recimo.. 11.22.33.44:22 bo dnat na 192.168.1.11:22 - torej mašina1, 11.22.33.44:222 pa bo dnat na 192.168.1.12:22 ergo mašina2.

če pa je že odprl RDP (glede na zapisano sklepam, da je uredil port forwarding oz. DNAT na port 3389), lahko ti enemu izmed obeh SSHjev rečeš, da posluša na tem portu namesto na default, potem pa lahko preko tistega SSHja tuneliraš drugo SSH sejo na drugo mašino. zadeva je ultra simpl, če ima tvoj sshd na prvi mašini omogočen AllowTcpForwarding.
I can see dumb people...They're all around us... Look, they're even on this forum!

mojca ::

Iz neznanega razloga mi poslušanja na portu 3389 ni uspelo skonfigurirati. Po desetih mailih pingponga mi je uspelo admina prepričati, da je povezavo preusmeril na port 22 in zdaj deluje. Očitno bom "razhroščevala" svoje nastavitve ob drugi priložnosti.

NoName ::

Sicer ne vem zakaj se ti tu ustavi, pa vendar...

http://www.openssh.com/cgi-bin/man.cgi?...
Port Specifies the port number that sshd(8) listens on. The default
is 22. Multiple options of this type are permitted. See also
ListenAddress.


po potrebi odkomentiraš, nastaviš 3389, restartaš servis (ponavadi service sshd restart), ter po potrebi popraviš lokalni firewall na mašini (če je linux - iptables...)
I can see dumb people...They're all around us... Look, they're even on this forum!

mojca ::

Spreminjala sem samo Port, ne pa tudi ListenAddress. Morda je krivo to, morda je bila kriva kakšna napačna nastavitev na požarnem zidu, morda kaj tretjega. Računalnik sem sicer ponovno zagnala, tako da bi se moral tudi service. Bom testirala naslednjič, ko bom fizično v omrežju in ob mašini.

specing ::

mojca je izjavil:

Računalnik sem sicer ponovno zagnala, tako da bi se moral tudi service.

meh, Windows solution.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači strežnik (strani: 1 2 )

Oddelek: Omrežja in internet
8012090 (10183) Zalachenko
»

Oddaljen dostop do računalnika (remote desktop)

Oddelek: Omrežja in internet
294733 (4017) lmorgh
»

Ping echo

Oddelek: Informacijska varnost
321596 (1089) poweroff
»

Linux-localhost

Oddelek: Operacijski sistemi
261917 (1431) 'FireSTORM'
»

VNC+ varnost + dinamični IP. Kako ??

Oddelek: Omrežja in internet
354243 (3259) flisko

Več podobnih tem