iptables
fuer unsere router-Gestoerten ... iptables -t nat -A PREROUTING -i $INPUT_INTERFACE --protocol udp --dport 2074 -j DNAT --to-dest 192.168.23.21:2074 iptables -A FORWARD -o $OUTPUT_INTERFACE --protocol udp --dport 2074 -j ACCEPT damit werden alle udp-Zugriffe auf einen Port des Routers an den entsprechenden Rechner im lokalen Netz weitergeleitet ...
Einrichtung eines ssh-Tunnels
notwendig, falls du keine Kontrolle ueber den Gateway hast
- das Folgende passiert auf dem static-ip-Rechner
- neuen Nutzer "rmt-ssh-tunnel" mit eigener Gruppe anlegen
- Home-Verzeichnis erstellen und ihm uebergeben (chown)
- Schluessel erzeugen
su - nutzer
ssh-keygen -t rsa
cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys
ssh localhost, anschliessed STRG-D oder exit (damit wurde die Signatur von localhost in die Datei "known_hosts" aufgenommen)
- das Verzeichnis wieder root uebergeben - Gruppe des Nutzers beibehalten
- die Schluessel der Berechtigten importieren (per scp, dann mit cat an "authorized_hosts" anhaengen)
- folgendes Skript muss als Dienst beim Hochfahren gestartet werden (chroot-Umgebung waere zukuenftig schick): upload:port-forward-init.sh
- somit werden die Ports 6001 bis 6005 (oeffentlich) an die Ports 26001 bis 26005 (intern) weitergeleitet
Nutzung der ssh-tunnel auf faxe
- nun kann man von ueberall aus, einen der fuenf internen Ports in Beschlag nehmen:
ssh -n -N -R 26001:localhost:80 rmt-ssh-tunnel@systemausfall.org
- zur Automatisierung ist es angenehm, den eigenen ssh-public-key an die "authorized_keys"-Datei des Nutzers "rmt-ssh-tunnel" auf faxe anzuhaengen
- DEPRECATED: stattdessen gibt es jetzt amritavpn
IP per iptables sperren
bestimmte IP für INPUT & OUTPUT zum Router sperren, sowie Weiterleitung ins Internet unterbinden (FORWARD)
iptables -I INPUT -s 192.168.1.xx -j DROP iptables -I OUTPUT -s 192.168.1.xx -j DROP iptables -I FORWARD -s 192.168.1.xx -j DROP
wieder freigeben (die entsprechenden DROP Regeln entfernen):
iptables -D INPUT -s 192.168.1.xx -j DROP iptables -D OUTPUT -s 192.168.1.xx -j DROP iptables -D FORWARD -s 192.168.1.xx -j DROP