SSH tunel přes IPTABLES

Kateřina Bubeníčková katerina.bubenickova na plbohnice.cz
Pátek Říjen 29 14:38:43 CEST 2004


Dejma napsal(a):

>Dobrý den všem,
>
>již dva dny se snažím z jedné naší pobočky protunelovat do jiné pobočky přes
>ssh.
>
>PC Putty <=> POBOCKA_1_ROUTER MNF shorewal NAT <==INTERNET==>
>POBOCKA_2_ROUTER MNF shorewal NAT <=> Linux SAMBA
>
>POBOCKA_2_ROUTER = sshd port 22
>POBOCKA_2_Linux SAMBA = sshd port 222
>
>V shorwalu mám pravidla a FUNGUJÍ:
>
>Result	Client Zone	Server Zone		Protocol	Port(s)
>Forward
>ACCEPT	wan 		lan:192.168.1.8:5908	tcp	5908		all
>Toto pravidlo mi umožňuje se připojit na VNC server v LAN - bez problémů
>
>ACCEPT fw lan tcp ssh    
>ACCEPT fw lan tcp 222
>
>z pobočky1 můj vncklient se přihlásím na PUBLIC_IP_pobocka2:5908 bez
>problémů
>
>z pobočky1 můj putty se přihlásím na _IP_pobocka2:22 bez problémů
>
>z pobočky2_router ssh se přihlásím na 192.168.1.246:222 bez problémů
>
>Rád bych se přihlási přímo z pobočky1 do pobočky2 na linux samba server, kde
>poslouchá sshd na portu 222. Tak jsem vytvořil analogické pravidlo jako pro
>vnc, tj.:
>
>ACCEPT wan lan:192.168.1.246:222 tcp 222 all
>
>ale bohužel, se nemohu z venku pomocí ssh ani WinSCP přihlást, connection
>timeout.
>
>hledal jsem v konfeře přes jyxo, nic co bych nezkusil, pročetl jsem celého
>růta, http://root.cz/clanek.php4?id=1715 také bez výsledku.
>
>Někde musím dělat nějakou kravinu a nevidím ji, mořím se s tím a už mi došla
>fantazie.
>
>Máte někdo podobné řešení. Nebo to celé dělám blbě od základu.
>
>Myšlenka byla, že budu kopírovat soubory pomocí WINSCP přes internet na
>samba server na pobočka2.
>
>Díky za případný kopanec, Dejma
>
>  
>
Presmerovat port 222 z pobocky2 na nejaky port > 1024 na router1
ssh -R 222:pobocka2:3000
pokud toto spojeni trva, spustit scp na port 3000 na router1.

Pro takovou akci je treba mit na fw na routeru 2 povolene ssh na portu 22.

Nevim, jestli to bude fungovat, ale zkuste to.
--Katerina Bubenickova


Další informace o konferenci Linux