Porter til SSH

[bjaanes]

Hei,

 

har nylig startet med å sette opp et nettverk med Linuxbokser som kjører Ubuntu Server 10.04, disse skal gjøre (og gjør i stor grad allerede) diverse oppgaver på nettverket (Filserver, backup, webserver (og etterhvert DHCP og DNS når jeg får rota litt mer med det).

Problemet mitt nå er at jeg har 3 maskiner jeg kontakter via SSH (2 headless servere og en klient). Jeg trenger å få kontakt med alle maskinen fra Internett og lurer i det forbindelse på hva som er "best" practice ift porter osv. Kommer ikke til å endre SSH-port på maskinene lokalt - endrer dette kun i rutern. Pr dags dato får jeg tak i den ene servern fra port 2222 (siden den dumme rutern fra NGT krever å bruke 22 til seg selv).

 

Hvis noen kunne fortalt meg hvilke porter som er greie å bruke, samt en forklaring på hvordan man finner ut hvilke porter som kan være hensiktsmessige å bruke til forskjellige tjeneste.

 

EDIT: Er litt n00b på porter in generel egentlig. Hvordan ville det blitt ift webserver? Hvis man ikke skal bruke port 80 altså.

Endret 9. august 2010 av bjaanes

[rWLCnB9yxT9WlAzurPH1]

.

Endret 25. januar 2018 av rWLCnB9yxT9WlAzurPH1

[bjaanes]

Sant nok, er det jeg gjør nå. Regnes det som "Best Practice"?

 

Da kan jeg vel sette opp en boks med X installert og bruke ssh -X hvis jeg må inn for å nå webgrensesnitt (f.eks. backuppc) og vanlig ssh hvis jeg bare skal terminal til de andre boksene?

[Sokkalf™]

Skal du nå et webgrensesnitt er det vel bedre å bare forwarde http-porten gjennom ssh-tunnelen til localhost, og fyre opp en browser lokalt?

 

Ellers anbefaler jeg også å ha én maskin du ssh'er til utenfra, som du bruker til å gå videre til de andre maskinene fra. Du kan f.eks legge inn screen på denne, så du kan ha ssh-sessions til de andre maskinene oppe hele tiden.

[Big_JT]

Støtter også SSH kun på en maskin, og gå vidre derifra ved behov. Dette gir i mitt hode mindre kontaktpunkt mot internett, som altid er bra når man tenker sikkerhet.

 

Kjører også tunnel på port 80 eller 443 ved behov for å nå en webtjeneste på internt nettverk via nettverk. Kjører ikke GUI på noen av mine servere, da jeg aldri har sett behovet for dette.

[bjaanes]

Skal du nå et webgrensesnitt er det vel bedre å bare forwarde http-porten gjennom ssh-tunnelen til localhost, og fyre opp en browser lokalt?

 

Ellers anbefaler jeg også å ha én maskin du ssh'er til utenfra, som du bruker til å gå videre til de andre maskinene fra. Du kan f.eks legge inn screen på denne, så du kan ha ssh-sessions til de andre maskinene oppe hele tiden.

 

Den er god

 

Men hvordan kjører jeg tunnel på say f.eks. port 80 gjennom ssh? Slik du som nevner her. Har aldri gjort noe sånt tidligere. Eneste jeg egentlig har gjort med ssh er f.eks. putty (fra windows) elller bare ssh fra kommandolinjen.

[enixitan]

Køyr denne kommandoen for å lage ein tunnel når du sit på utsida av ditt lokalnett:

ssh -D 9999 hostname.com

(erstatt ssh med putty om du skal bruke Putty)

 

hostname.com er IP-adressa eller DNS-navnet til SSH-maskina du kan kontakte frå utsida.

 

Du vil få opp ei vanleg SSH-innlogging, logg inn med ein brukar slik du vanlegvis gjer. Denne SSH-sesjonen kan du bruke til vanlege kommandoar, men ikkje lukk den.

 

Set opp nettlesaren din med ein SOCKSv5-proxy, med adresse 127.0.0.1 og port 9999.

 

Tenk deg at maskina som køyrer web-grensesnittet du skal ha tak i har intern IP-adresse 192.168.42.42 i ditt nettverk. Gå til http://192.168.42.42 med nettlesaren din (etter å ha satt opp proxy-en), og du skal få opp grensesnittet som om du sat i ditt eige nettverk. Dersom grensesnittet ikkje køyrer på standard port (80) må du naturleg nok legge til den i adressa.

 

Dersom du har andre ting du skulle hatt tak i, som ikkje støttar SOCKS-proxy (t.d. Windows RDP), kan du gjere det på ein annan måte. Denne fungerar med alle slags program:

 

ssh -L 9999:192.168.42.42:3389 hostname.com

 

Logg inn, same som over.

 

All trafikk sendt til 127.0.0.1 port 9999 blir no sendt gjennom SSH-tunnelen, og vidare til maskina 192.168.42.42 port 3389. For å koble deg til Remote Desktop på ei Windows-maskin kan du køyre denne etter å a køyrt kommandoen over:

mstsc /V:127.0.0.1:9999

 

Du kan naturlegvis bruke andre portar òg, du kan òg opne fleire slike SSH-sesjonar for å bruke ulike applikasjonar på ulike maskiner samtidig.

[bjaanes]

Okey, skal se om jeg får til det.

Men sett at jeg vil bytte til en litt mindre tradisjonell port for SSH - fra utsiden. Er det noe spessielt jeg skal bruke, fra en spesiell range eller lignende?

Forøvrig tenkte jeg kanskje å sette opp en småslapp laptop som "inngangsporten" til nettverket over SSH - istedet for å at en av de "kritiske" serverne står rett på nett, SSH-vise.

[enixitan]

Bruk akkurat det du føler for, så lenge du hugsar det. Utover 22 som er den standardiserte er det ingen reglar for SSH-portar.

 

Bare bruk portnummer over 1024 eller høgare, då portane t.o.m. 1024 er reservert, og skal etter reglane kun brukast til tenestene dei er definert for. Eg brukar sjølv alltid portnummer over 30000, slik at eg er rimeleg sikker på å ikkje bruke ein port som er vanleg for ei teneste ein brannmur kan ha lyst til å blokkere. Dei færraste tenester brukar portnummer over 10000, men eit eksempel er t.d. Steam (27015, eit par andre i 27xxx-området), som ein streng brannmur på ein arbeidsplass kan tenke seg å blokkere.