Zum Inhalt springen

scp (ssh) durch Firewall tunneln


Sacha

Empfohlene Beiträge

Moinsen erstmal,

ich hab da ein Problem und braeuchte mal eure Hilfe. Die Situation ist folgende: Ich habe drei Rechner: einen Rechner vor der Firewall, die Firewall selbst und einen Rechner hinter der Firewall. Nun moechte ich Daten von dem Rechner der vor der Firewall steht auf den Rechner der hinter Firewall steht per scp uebertragen. Ich habe die Moeglichkeit auf allen Rechnern Benutzer mit allen Rechten anzulegen und auf der Firewall den ssh-port fuer eine Verbindung von dem aussenstehenden Rechner zu oeffnen.

Habe ich nun eine Moeglichkeit die ssh-Daten direkt durch die Firewall zu tunneln ohne das die Firewall selbst irgendwas machen muss? Welche Rechte muessten meine Benutzer haben? Ich moechte natuerlich vermeiden das ganze als root zu machen. Wie sage ich scp was er tun soll?

Ich hoffe das irgendwer ne Idee hat, ich steh momentan vorm Berg und komme nicht drueber ;).

MfG,

Sacha

Link zu diesem Kommentar
Auf anderen Seiten teilen

Morgen,

scp benutzt afaik den gleichen Port wie ssh, also 22.

Wenn eine ssh-Verbindung funktioniert, muss auch scp klappen.

ssh kann von jeden Nutzer gestartet werden, mit welchen User du dich auf den remote Rechner verbindest kannst du über Parameter steuern.

Hier die Syntax :

http://www.math.uni-bremen.de/zetem/t-info/docs/ssh-benutzung.html#scp

Gruß

Terran Marine

Link zu diesem Kommentar
Auf anderen Seiten teilen

Moin,

Ich versteh dein Problem nicht so ganz, wenn du per SSH durch die Firewall kommst, ist auch scp kein Problem, da es ueber den gleichen Port bzw gleiches Protokoll angesprochen wird.

Wenn es dir darum geht einen echten Tunnel zu bauen:


ssh -L 4001:<Zielrechner>:22 <Vermittlungsrechner> -l <Username>

Das würde bewirken das du zwischen dir Lokal und dem <Zielrechner> unter Vermittlung von <Vermittlungsrechner> eine Verbindung zwischen dir Port 4001 (lokal) und Port 22 (Zielrechner) aufbaust. Den kannst du dann zB so ansprechen:

scp -P 4001 locahost:/home/bla .

Wobei das eigendlich dann doppelt gemoppelt ist, ein SCP durch nen ssh tunnel zu jagen ist nicht wirklich nuetzlich/brauchbar.

Die alternative besteht darin das du zB den Tunnel nicht zu Port 22 aufbaust sondern zB zu 21 (ftp) und dann ueber den gesicherten ssh tunnel sicher per ftp sharen kannst. (Wär dann der gleiche Aufruf: ftp localhost 4001)

Jedoch dann beachten das du als ersten in den Passiv Modus wechselst. (Einfach "passive" eingeben)

Ich hoffe das hilft dir weiter, ansonsten werd bisschen konkreter ;)

so long

S.Kremer

Link zu diesem Kommentar
Auf anderen Seiten teilen

Sorry, ich hab mich falsch ausgedrueckt. Es geht mir nicht drum das scp nochmal extra durch ssh zu tunneln ;), ich habe halt nur diese drei Rechner und moechte von dem einen auf den anderen per scp Daten uebertragen, moeglichst durch die Firewall.

Ungefaehr so:

Rechner 1 Firewall Rechner 2

+---------+ +-----------+ +-----------+

| Daten | ------> | | --> | |

+---------+ +-----------+ +-----------+

Was ich also suche, ist eine Moeglichkeit Rechner 2 zu sagen das er die Daten von Rechner 1 zu holen, und die Firewall irgendwie als Hop oder Relaying Host zu benutzen.

Ich hoffe das war verstaendlicher.

Danke fuer eure Geduld :).

MfG,

Sacha

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nein, eine direkte Verbindung ist nicht moeglich. Ich kann von Rechner 2 per ssh auf die Firewall connecten und von der Firewall aus auf Rechner 1. Umgekehrt gehts nicht. Ich koennte also auf ein ssh auf die Firewall aufbauen und die Daten auf die Firewall ziehen. Dann die Daten von Rechner 2 aus von der Firewall ziehen. Ich wuerde das allerdings gerne in einem Schritt erledigen, daher meine Frage ob das moeglich ist.

MfG,

Sacha

Link zu diesem Kommentar
Auf anderen Seiten teilen

"Habe ich nun eine Moeglichkeit die ssh-Daten direkt durch die Firewall zu tunneln ohne das die Firewall selbst irgendwas machen muss?"

"Was ich also suche, ist eine Moeglichkeit Rechner 2 zu sagen das er die Daten von Rechner 1 zu holen, und die Firewall irgendwie als Hop oder Relaying Host zu benutzen."

sorry für mich wird das immer verwirrender als klarer ...

du willst also per scp das machen was du bei einem ftp mit dem get befehl machst? also dir die daten "ziehen", nicht die daten von dem anderen rechner aus "rüberschieben"?

hab ich das jetzt richtig verstanden?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ist die Firewall eine hardware Firewall oder sowas, oder ne normale Linuxkiste mit bash und allem drum und dran?

Wenn Linux, dann bau doch einfach von der Firewall nen ssh tunnel wie oben beschrieben zu einer der Kisten auf, und von der anderen connectest du zu dem gerade errichteten ssh tunnel auf der Firewall, somit dient die Firewall als relay.

so long

S.Kremer

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by shutdown-Frnow

"Habe ich nun eine Moeglichkeit die ssh-Daten direkt durch die Firewall zu tunneln ohne das die Firewall selbst irgendwas machen muss?"

"Was ich also suche, ist eine Moeglichkeit Rechner 2 zu sagen das er die Daten von Rechner 1 zu holen, und die Firewall irgendwie als Hop oder Relaying Host zu benutzen."

sorry für mich wird das immer verwirrender als klarer ...

du willst also per scp das machen was du bei einem ftp mit dem get befehl machst? also dir die daten "ziehen", nicht die daten von dem anderen rechner aus "rüberschieben"?

hab ich das jetzt richtig verstanden?

ich glaub er meint er kann von Rechner 1 zu Rechner 2 einfach keine direct verbindung machen und will die Firewall als relay benutzen um diese verbindung herstellen zu koennen.

so long

S.Kremer

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by shutdown-Frnow

du willst also per scp das machen was du bei einem ftp mit dem get befehl machst? also dir die daten "ziehen", nicht die daten von dem anderen rechner aus "rüberschieben"?

hab ich das jetzt richtig verstanden?

Genau. Rechner 2 soll die Daten von Rechner 1 ziehen. Eine direkte Verbindung der beiden ist aber nicht moeglich, also muss ich irgendwie durch die Firewall. Wie gesagt: Eine Verbindung von Rechner 2 auf die Firewall ist problemlos moeglich, und eine Verbindung von der Firewall auf Rechner 1 ist problemlos moeglich.

Die Firewall ist ueberigens eine Linux--Kiste.

MfG,

Sacha

Link zu diesem Kommentar
Auf anderen Seiten teilen

OK,

Kommando zurück, das wird dir nichts bringen, da springt deine Firewall im Dreieck wenn sie richtig konfiguriert ist.

Andere Idee:

Du musst root auf der Firewall besitzen!

1. Du gehst auf Rechner 1

2. Loggst dich per root ein

3. Du gibst ein

=> ssh -L4001:<IP-Rechner2>:22 root@<IP-Firewall>

4. öffnest eine _neue_ Console/terminal und gibst ein

=> ssh -p 4001 UserAufPC2@localhost

4.1. oder eben fuer das scp

=> scp -P 4001 locahost:/home/bla .

(oder eben wie du willst, du kannst ja mit scp saugen als auch schieben)

5. Wenn es klappt solltest du nun durch die Firewall durchgeschleust sein, da root das primäre Recht hat ssh aufzubauen vor der Firewall.

Ich kann dir keine Garantie geben das es klappt, es ist ein Versuch wert, vom loggischen muesst es passen. Ansonsten sehe ich keine Möglichkeit ohne an die iptables/ipchains Regeln ranzugehen (Eventuell stunnel, aber dann wird es grausam kompliziert)

so long

S.Kremer

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ist die Firewall zufällicherweise gleichzeitg Proxy?

Dann kannst du dir mal Httptunnel anschauen.

Du könntest so verfahren:

R1 ---> FW --> R2

R2: hts -L localhost:8080 22

R1: htc -P ipvonFW:8080 -L 30 ipvonR2:8080

jetzt machst du einfach ein scp auf localhost -p30

und die Daten kommen tatsächlich bei R2 an.

Httptunnel Client(htc) und Server(hts) gibts für

Windows und Linux.

Quelle:

http://www.nocrew.org/software/httptunnel.html

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...