Unterschiede zwischen den Revisionen 1 und 2
Revision 1 vom 2004-12-16 23:44:09
Größe: 1761
Autor: anonym
Kommentar: missing edit-log entry for this revision
Revision 2 vom 2010-06-03 16:45:11
Größe: 2249
Autor: anonym
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 28: Zeile 28:
= IP per iptables sperren =
 * bestimmte IP für INPUT & OUTPUT zum Router sperren, sowie Weiterleitung ins Internet unterbinden (FORWARD) {{{
iptables -I INPUT -s 192.168.1.xx -j DROP
iptables -I OUTPUT -s 192.168.1.xx -j DROP
iptables -I FORWARD -s 192.168.1.xx -j DROP
}}}
 * wieder freigeben (die entsprechenden DROP Regeln entfernen): {{{
iptables -D INPUT -s 192.168.1.xx -j DROP
iptables -D OUTPUT -s 192.168.1.xx -j DROP
iptables -D FORWARD -s 192.168.1.xx -j DROP
}}}

iptables

fuer unsere router-Gestoerten ... iptables -t nat -A PREROUTING -i $INPUT_INTERFACE --protocol udp --dport 2074 -j DNAT --to-dest 192.168.23.21:2074 iptables -A FORWARD -o $OUTPUT_INTERFACE --protocol udp --dport 2074  -j ACCEPT damit werden alle udp-Zugriffe auf einen Port des Routers an den entsprechenden Rechner im lokalen Netz weitergeleitet ...

Einrichtung eines ssh-Tunnels

notwendig, falls du keine Kontrolle ueber den Gateway hast

  1. das Folgende passiert auf dem static-ip-Rechner
  2. neuen Nutzer "rmt-ssh-tunnel" mit eigener Gruppe anlegen
  3. Home-Verzeichnis erstellen und ihm uebergeben (chown)
  4. Schluessel erzeugen
    1. su - nutzer

    2. ssh-keygen -t rsa

    3. cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys

    4. ssh localhost, anschliessed STRG-D oder exit (damit wurde die Signatur von localhost in die Datei "known_hosts" aufgenommen)

    5. das Verzeichnis wieder root uebergeben - Gruppe des Nutzers beibehalten
  5. die Schluessel der Berechtigten importieren (per scp, dann mit cat an "authorized_hosts" anhaengen)
  6. folgendes Skript muss als Dienst beim Hochfahren gestartet werden (chroot-Umgebung waere zukuenftig schick): upload:port-forward-init.sh
  7. somit werden die Ports 6001 bis 6005 (oeffentlich) an die Ports 26001 bis 26005 (intern) weitergeleitet

Nutzung der ssh-tunnel auf faxe

  • nun kann man von ueberall aus, einen der fuenf internen Ports in Beschlag nehmen:

ssh -n -N -R 26001:localhost:80 rmt-ssh-tunnel@systemausfall.org

  • zur Automatisierung ist es angenehm, den eigenen ssh-public-key an die "authorized_keys"-Datei des Nutzers "rmt-ssh-tunnel" auf faxe anzuhaengen
  • DEPRECATED: stattdessen gibt es jetzt amritavpn

IP per iptables sperren

  • bestimmte IP für INPUT & OUTPUT zum Router sperren, sowie Weiterleitung ins Internet unterbinden (FORWARD)

    iptables -I INPUT -s 192.168.1.xx -j DROP
    iptables -I OUTPUT -s 192.168.1.xx -j DROP
    iptables -I FORWARD -s 192.168.1.xx -j DROP
  • wieder freigeben (die entsprechenden DROP Regeln entfernen):

    iptables -D INPUT -s 192.168.1.xx -j DROP
    iptables -D OUTPUT -s 192.168.1.xx -j DROP
    iptables -D FORWARD -s 192.168.1.xx -j DROP

PortForwardingHowto (zuletzt geändert am 2012-06-13 21:26:22 durch anonym)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.