== iptables == fuer unsere router-Gestoerten ... `iptables -t nat -A PREROUTING -i $INPUT_INTERFACE --protocol udp --dport 2074 -j DNAT --to-dest 192.168.23.21:2074` `iptables -A FORWARD -o $OUTPUT_INTERFACE --protocol udp --dport 2074 -j ACCEPT` damit werden alle udp-Zugriffe auf einen Port des Routers an den entsprechenden Rechner im lokalen Netz weitergeleitet ... == Einrichtung eines ssh-Tunnels == notwendig, falls du keine Kontrolle ueber den Gateway hast 1. das Folgende passiert auf dem static-ip-Rechner 1. neuen Nutzer "rmt-ssh-tunnel" mit eigener Gruppe anlegen 1. Home-Verzeichnis erstellen und ihm uebergeben (chown) 1. Schluessel erzeugen 1. '''su - nutzer''' 1. '''ssh-keygen -t rsa''' 1. '''cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys''' 1. '''ssh localhost''', anschliessed STRG-D oder '''exit''' (damit wurde die Signatur von localhost in die Datei "known_hosts" aufgenommen) 1. das Verzeichnis wieder root uebergeben - Gruppe des Nutzers beibehalten 1. die Schluessel der Berechtigten importieren (per scp, dann mit cat an "authorized_hosts" anhaengen) 1. folgendes Skript muss als Dienst beim Hochfahren gestartet werden (chroot-Umgebung waere zukuenftig schick): upload:port-forward-init.sh 1. somit werden die Ports 6001 bis 6005 (oeffentlich) an die Ports 26001 bis 26005 (intern) weitergeleitet = Nutzung der ssh-tunnel auf faxe = * nun kann man von ueberall aus, einen der fuenf internen Ports in Beschlag nehmen: `ssh -n -N -R 26001:localhost:80 rmt-ssh-tunnel@systemausfall.org` * zur Automatisierung ist es angenehm, den eigenen ssh-public-key an die "authorized_keys"-Datei des Nutzers "rmt-ssh-tunnel" auf faxe anzuhaengen * DEPRECATED: stattdessen gibt es jetzt amritavpn = IP per iptables sperren = * bestimmte IP für INPUT & OUTPUT zum Router sperren, sowie Weiterleitung ins Internet unterbinden (FORWARD) {{{ iptables -I INPUT -s 192.168.1.xx -j DROP iptables -I OUTPUT -s 192.168.1.xx -j DROP iptables -I FORWARD -s 192.168.1.xx -j DROP }}} * wieder freigeben (die entsprechenden DROP Regeln entfernen): {{{ iptables -D INPUT -s 192.168.1.xx -j DROP iptables -D OUTPUT -s 192.168.1.xx -j DROP iptables -D FORWARD -s 192.168.1.xx -j DROP }}}