Portweiterleitung

Dieses Thema im Forum "Firewalls" wurde erstellt von kuaza, 06.08.2008.

  1. kuaza

    kuaza Foren As

    Dabei seit:
    10.06.2007
    Beiträge:
    76
    Zustimmungen:
    0
    Hallo,

    ich habe eine Firewall mit Portweiterleitung basierend auf Debian mit iptables. Nun stehe ich vor der Situation, dass ich einen Port passwortschützen will, so dass man jedesmal Benutzernamen und Passwort eingeben muss bevor man weitergeleitet wird.

    Hat von euch einer eine Idee wie das funktioniert, oder ob es überhaupt möglich ist.

    Danke im Vorraus,

    Kuaza
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 saeckereier, 06.08.2008
    Zuletzt bearbeitet: 06.08.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Nicht möglich
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Mit mehr Details kann die Antwort aber anders ausfallen
     
  4. Dizzy

    Dizzy Brain Damage

    Dabei seit:
    02.05.2007
    Beiträge:
    857
    Zustimmungen:
    0
    Ort:
    Graz
    Mich interessiert, wie du dir das vorgestellt hast, kuaza.
     
  5. #4 saeckereier, 06.08.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Für Webzugriff geht das ohne Probleme. Auch denkbar ist, dass man manuell in nem Webinterface vorher freischaltet. Aber die Anforderung so wie gestellt ist nicht umsetzbar. (Wenn man nicht den IP Stack der Betriebssysteme in großen Teilen umgestaltet, coole Idee eigentlich ICMP-RFFPX Pakete (=Request Forward for Port X) sind doch ne geile Idee)
     
  6. #5 kuaza, 06.08.2008
    Zuletzt bearbeitet: 06.08.2008
    kuaza

    kuaza Foren As

    Dabei seit:
    10.06.2007
    Beiträge:
    76
    Zustimmungen:
    0
    Ich muss den Port übers Internet frei geben und möchte nicht, dass ich jeder darauf zugriff hat. Den Zugriff möchte ich aber nicht erst beim Server unterbinden, sondern direkt bei der Firewall. Vielleicht weiß ja jemand ein script, mit dem man den Port abfangen und eine Benutzerkontrolle machen kann.
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    ICMP-RFFPX: echt geile Idee, wenn du es schafft bin der erste der es einsetzt.
     
  7. #6 g0dzilla, 06.08.2008
    g0dzilla

    g0dzilla trust your technolust

    Dabei seit:
    06.10.2003
    Beiträge:
    22
    Zustimmungen:
    0
  8. #7 saeckereier, 06.08.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Da hab ich auch dran gedacht. Port-Knocking ist noch das was am nächsten dran kommt.. Oder eben ein Webinterface auf der Firewall, das da eigentlich nix zu suchen hat.
     
  9. kuaza

    kuaza Foren As

    Dabei seit:
    10.06.2007
    Beiträge:
    76
    Zustimmungen:
    0
    ich schau mir mal portknocking an.

    Danke für den Tipp!!!
     
  10. #9 saeckereier, 06.08.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Achte trotzdem darauf, dass sich dein Dienst der darüber erreichbar ist nicht nur darauf verlässt. Wenn man fragen darf, worum geht's denn?
     
  11. kuaza

    kuaza Foren As

    Dabei seit:
    10.06.2007
    Beiträge:
    76
    Zustimmungen:
    0
    von einem entfernten Rechner kommen GPS-Daten rein und sollen über die Firewall zu einem Windows NT Server weitergeleitet werden.
     
  12. #11 saeckereier, 06.08.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ah ok, schwieriger Fall. Ich glaube ich würde ne SSH Portweiterleitung oder ein VPN benutzen. Das ist das sicherste und bequemste, so denn ein Linux Rechner im Netz parkt. (Für SSH. Fürs VPN würd's auch ne Appliance tun)
     
  13. #12 kuaza, 07.08.2008
    Zuletzt bearbeitet: 07.08.2008
    kuaza

    kuaza Foren As

    Dabei seit:
    10.06.2007
    Beiträge:
    76
    Zustimmungen:
    0
    Auf dem server läuft bereits ssh, und dein Vorschlag hört sich von der Idee her wirklich gut an, nur ich habe leider keine Ahnung wie ich das anstellen sollte! Kennst du vielleicht ein gutes HowTo, das dies erkärt?
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Hab ich gerade gefunden und hört sich glaube ich ganz gut an

    http://www.nixhelp.de/doku.php/howto/port-knocking
     
  14. #13 saeckereier, 07.08.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Du kannst mit SSH einen TCP-Port weiterleiten, Beispiel:
    Code:
    ssh -L 5900:localhost:5901 server
    
    (Code auf dem Client)

    Wenn du dann auf dem Client was an Port 5900/tcp sendest, wird das verschlüsselt über die SSH Verbindung auf Port 5901 des Rechners "localhost" aus Sicht des Server umgeleitet. So kannst du die Authentifizierung per SSH mit Key machen und die Daten sicher und verschlüsselt durch die Firewall bringen, in dem du SSH von außen erreichbar machst. Wichtig, falls du das machst: SSH auf Public Key only einstellen, also die Verwendung von Passwörtern deaktivieren. Wenn möglich die erlaubten User explizit oder implizit über eine Gruppe in der ssh Config einstellen. Und immer schön SSH aktuell halten. Lässt sich natürlich noch zusätzlich mit Port Knocking verbinden.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. kuaza

    kuaza Foren As

    Dabei seit:
    10.06.2007
    Beiträge:
    76
    Zustimmungen:
    0
    Danke für die Tipps, werde ich sicher ausprobieren, aber im Moment ist mir das zu gefährlich, da die Server alle im Einsatz sind und wenn was schief läuft ich ein ziemliches Problem habe.
     
  17. #15 supersucker, 07.08.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Wieso läßt man dich einen Server administrieren, wenn du nicht mal Ahnung von SSH hast?
     
Thema:

Portweiterleitung

Die Seite wird geladen...

Portweiterleitung - Ähnliche Themen

  1. portweiterleitung oder vielleicht auch nicht?

    portweiterleitung oder vielleicht auch nicht?: hey leute ich wiedermal nen problem. Unzwar hab ich in virtualbox nen webserver am laufen und wuerde gerne das ich den von ausserhalb also...
  2. Virtualbox Portweiterleitung zu Debian

    Virtualbox Portweiterleitung zu Debian: Hi leute ich habe mir ein Debian in eienr VirtualBox installiert und wollte dafür ports im router freigeben,aber der router sagt immer bad ip weil...
  3. Ausfall einer Portweiterleitung

    Ausfall einer Portweiterleitung: Portweiterleitung Ich habe eine Portweiterleitung von einem Proxy- zu einem Mailserver im lokalen Netz angelegt. Diese funktionierte ca 2 Wochen...