[Info]
Aktuelle Zeit: Mo 22. Jan 2018, 01:17

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: Mo 3. Jul 2017, 20:01 
Offline
Wiki-Crew
Benutzeravatar

Registriert: Do 28. Jul 2011, 15:03
Beiträge: 739
Wohnort: Schwentinental

Spezialgebiet: ARM(besonders Cortex M4), USB
Huhu,

ich habe einen halben Linux-Server, auf dem ein kastriertes Debain läuft(Daher auch nur ein halber Server). An diesen Server ist am eth3 direkt ein weiterer Rechner via LAN angeschlossen.
Jetzt möchte/muss ich den Rechner hinter dem Server(Windows 10) per RDP fernwarten. Da ich den RDP-Port des Rechners nicht der Öffentlichkeit zugänglich machen will, tunnele ich mich per SSH auf den Server und richte einen lokalen Portforward von meinem Rechner auf den Server ein. Jetzt möchte ich erreichen, dass alle Pakete/Daten die aus dem SSH-Tunnel auf einem bestimmten Port "herausfallen", auf einen bestimmten Port am Rechner weiter geleitet werden. Dafür scheint mir iptables das richtige Mittel der Wahl.
Code:
                 __________          ____________
                |   Server     |  LAN |  Rechner      |
-->SSH-Tunnel->         | <--->|                    |
                |_________ |         |___________|



IP-Adresse des Servers im LAN : 192.168.0.1 Port des SSH-Tunnels: 9002
IP-Adresse des Rechners im LAN: 192.168.0.2 Zielport am Rechner: 3389


versuche mit iptables -t nat PREROUTING --dport 9002 -j DNAT --to-destination 192.168.0.2:3389 waren eher weniger erfolgreich. Dies macht im nachhinein auch Sinn, da die Pakete mit hoher Wahrscheinlichkeit nicht an Port 9002 adressiert sind. Hat --sport 9002 als Alternative mehr Aussicht auf Erfolg?
Interessant wäre an dieser Stelle zu wissen, an welchem Interface die Packet aus dem SSH-Tunnel entstehen und wie man diese passend abfängt und dann anpasst


In der Firewall des Servers ist zum aktuellen Zeitpunkt noch alles erlaubt(diese wird über eine Oberfläche konfiguriert).

Gruß Jannis


Share on FacebookShare on Google+Share on Reddit
Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Di 4. Jul 2017, 12:20 
Offline
Benutzeravatar

Registriert: Mi 26. Aug 2009, 22:16
Beiträge: 323
Wohnort: Kiel

Spezialgebiet: Handwerkliche Improvisationen
Moin Jannis,

bin jetzt auch nich der Netzwerkpro aber könntest Du nicht versuchen einfach ein weiteres mal zu tunneln?
In etwa so, Ich nenne den Server jetzt mal Gateway - passt glaub ich besser:
Code:
-->[SSH Tunnel] --> Gateway --> [SSH Tunnel] --> Windowskiste


Sähe dann in etwa so aus(Ich gehe ma davon aus, dass Du zur Vernunft gekommen bist und Linux als HauptOs hast):
Code:
Lokaler Rechner:
ssh -L 3389:$gatewayIP:$fooPort -l $gatewayCredentials
Gateway:
ssh -L $fooPort:$windowsKistenIP:3389 -l $windowsCredentials


Schau bitte zum debuggen mal nach was so am Gateway ankommt. Stichwort netcat(nc). Hängt Dein Gateway im Internet oder wie sieht das aus? ;) könnten ggf. halt auch ma ne Screensession machen und uns das gemeinsam ansehen.

Beste Grüße
Dennis

_________________
Hey Sigma, ist noch Lambda? - Ja aber das Phi ist noch Rho.


Share on FacebookShare on Google+Share on Reddit
Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Mo 10. Jul 2017, 12:02 
Offline
Wiki-Crew
Benutzeravatar

Registriert: Do 28. Jul 2011, 15:03
Beiträge: 739
Wohnort: Schwentinental

Spezialgebiet: ARM(besonders Cortex M4), USB
Huhu,

letztendlich ist es doch die SSH-Tunnelvariante geworden, so wie SeriousD es vorgeschlagen hat:
-mit iptables ist es nur schwer möglich, die Pakete aus dem SSH-Tunnel abzufangen
-Wenn man sowieso schon einen SSH-Tunnel hat, ist eine fertige Lösung mit 2 Klicks doch deutlich zeiteffizienter.

Gruß Jannis


Share on FacebookShare on Google+Share on Reddit
Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu:  



Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de

moShBox © 2008, 2009, 2010 mosfetkiller-Community