scp (ssh) durch Firewall tunneln

[Sacha]

Moinsen erstmal,
ich hab da ein Problem und braeuchte mal eure Hilfe. Die Situation ist folgende: Ich habe drei Rechner: einen Rechner vor der Firewall, die Firewall selbst und einen Rechner hinter der Firewall. Nun moechte ich Daten von dem Rechner der vor der Firewall steht auf den Rechner der hinter Firewall steht per scp uebertragen. Ich habe die Moeglichkeit auf allen Rechnern Benutzer mit allen Rechten anzulegen und auf der Firewall den ssh-port fuer eine Verbindung von dem aussenstehenden Rechner zu oeffnen.
Habe ich nun eine Moeglichkeit die ssh-Daten direkt durch die Firewall zu tunneln ohne das die Firewall selbst irgendwas machen muss? Welche Rechte muessten meine Benutzer haben? Ich moechte natuerlich vermeiden das ganze als root zu machen. Wie sage ich scp was er tun soll?
Ich hoffe das irgendwer ne Idee hat, ich steh momentan vorm Berg und komme nicht drueber .
MfG,
Sacha

[Terran Marine]

Morgen,

scp benutzt afaik den gleichen Port wie ssh, also 22.
Wenn eine ssh-Verbindung funktioniert, muss auch scp klappen.

ssh kann von jeden Nutzer gestartet werden, mit welchen User du dich auf den remote Rechner verbindest kannst du über Parameter steuern.

Hier die Syntax :

http://www.math.uni-bremen.de/zetem/...tzung.html#scp

Gruß
Terran Marine

[S.Kremer]

Moin,

Ich versteh dein Problem nicht so ganz, wenn du per SSH durch die Firewall kommst, ist auch scp kein Problem, da es ueber den gleichen Port bzw gleiches Protokoll angesprochen wird.

Wenn es dir darum geht einen echten Tunnel zu bauen:

Code:

ssh -L 4001:<Zielrechner>:22 <Vermittlungsrechner> -l <Username>

Das würde bewirken das du zwischen dir Lokal und dem <Zielrechner> unter Vermittlung von <Vermittlungsrechner> eine Verbindung zwischen dir Port 4001 (lokal) und Port 22 (Zielrechner) aufbaust.

Den kannst du dann zB so ansprechen:

Code:

scp -P 4001 locahost:/home/bla .

Wobei das eigendlich dann doppelt gemoppelt ist, ein SCP durch nen ssh tunnel zu jagen ist nicht wirklich nuetzlich/brauchbar.

Die alternative besteht darin das du zB den Tunnel nicht zu Port 22 aufbaust sondern zB zu 21 (ftp) und dann ueber den gesicherten ssh tunnel sicher per ftp sharen kannst. (Wär dann der gleiche Aufruf: ftp localhost 4001)
Jedoch dann beachten das du als ersten in den Passiv Modus wechselst. (Einfach "passive" eingeben)

Ich hoffe das hilft dir weiter, ansonsten werd bisschen konkreter

so long
S.Kremer

[Sacha]

Sorry, ich hab mich falsch ausgedrueckt. Es geht mir nicht drum das scp nochmal extra durch ssh zu tunneln , ich habe halt nur diese drei Rechner und moechte von dem einen auf den anderen per scp Daten uebertragen, moeglichst durch die Firewall.
Ungefaehr so:

Rechner 1 Firewall Rechner 2
+---------+ +-----------+ +-----------+
| Daten | ------> | | --> | |
+---------+ +-----------+ +-----------+

Was ich also suche, ist eine Moeglichkeit Rechner 2 zu sagen das er die Daten von Rechner 1 zu holen, und die Firewall irgendwie als Hop oder Relaying Host zu benutzen.
Ich hoffe das war verstaendlicher.
Danke fuer eure Geduld .
MfG,
Sacha

[S.Kremer]

Sag uns doch mal ob du von Rechner 1 auf Rechner 2 zugreifen kannst per normalen SSH, oder umgekehrt, kannst du von Rechner 2 auf Rechner 1 zugreifen per SSH, das hilft in der Verständnissfrage weiter

so long
S.Kremer

[Sacha]

Nein, eine direkte Verbindung ist nicht moeglich. Ich kann von Rechner 2 per ssh auf die Firewall connecten und von der Firewall aus auf Rechner 1. Umgekehrt gehts nicht. Ich koennte also auf ein ssh auf die Firewall aufbauen und die Daten auf die Firewall ziehen. Dann die Daten von Rechner 2 aus von der Firewall ziehen. Ich wuerde das allerdings gerne in einem Schritt erledigen, daher meine Frage ob das moeglich ist.
MfG,
Sacha

[shutdown-Frnow]

"Habe ich nun eine Moeglichkeit die ssh-Daten direkt durch die Firewall zu tunneln ohne das die Firewall selbst irgendwas machen muss?"

"Was ich also suche, ist eine Moeglichkeit Rechner 2 zu sagen das er die Daten von Rechner 1 zu holen, und die Firewall irgendwie als Hop oder Relaying Host zu benutzen."

sorry für mich wird das immer verwirrender als klarer ...

du willst also per scp das machen was du bei einem ftp mit dem get befehl machst? also dir die daten "ziehen", nicht die daten von dem anderen rechner aus "rüberschieben"?

hab ich das jetzt richtig verstanden?

[S.Kremer]

Ist die Firewall eine hardware Firewall oder sowas, oder ne normale Linuxkiste mit bash und allem drum und dran?

Wenn Linux, dann bau doch einfach von der Firewall nen ssh tunnel wie oben beschrieben zu einer der Kisten auf, und von der anderen connectest du zu dem gerade errichteten ssh tunnel auf der Firewall, somit dient die Firewall als relay.

so long
S.Kremer

[S.Kremer]

Zitat:

Originally posted by shutdown-Frnow
"Habe ich nun eine Moeglichkeit die ssh-Daten direkt durch die Firewall zu tunneln ohne das die Firewall selbst irgendwas machen muss?"

"Was ich also suche, ist eine Moeglichkeit Rechner 2 zu sagen das er die Daten von Rechner 1 zu holen, und die Firewall irgendwie als Hop oder Relaying Host zu benutzen."

sorry für mich wird das immer verwirrender als klarer ...

du willst also per scp das machen was du bei einem ftp mit dem get befehl machst? also dir die daten "ziehen", nicht die daten von dem anderen rechner aus "rüberschieben"?

hab ich das jetzt richtig verstanden?

ich glaub er meint er kann von Rechner 1 zu Rechner 2 einfach keine direct verbindung machen und will die Firewall als relay benutzen um diese verbindung herstellen zu koennen.

so long
S.Kremer

[Sacha]

Zitat:

Originally posted by shutdown-Frnow
du willst also per scp das machen was du bei einem ftp mit dem get befehl machst? also dir die daten "ziehen", nicht die daten von dem anderen rechner aus "rüberschieben"?

hab ich das jetzt richtig verstanden?

Genau. Rechner 2 soll die Daten von Rechner 1 ziehen. Eine direkte Verbindung der beiden ist aber nicht moeglich, also muss ich irgendwie durch die Firewall. Wie gesagt: Eine Verbindung von Rechner 2 auf die Firewall ist problemlos moeglich, und eine Verbindung von der Firewall auf Rechner 1 ist problemlos moeglich.
Die Firewall ist ueberigens eine Linux--Kiste.
MfG,
Sacha

[S.Kremer]

Jo, is doch schoen, arbeitest du mit iptables oder ipchains? Entweder bauen wir da nen forward ein oder eben in dem fall die kompliziertere Lösung des ssh tunnels

Sag Bescheid was dir lieber ist

so long
S.Kremer

[Sacha]

An der Firewall selbst kann ich nichts aendern, nen Forward faellt also flach. Bleibt wohl nur die Moeglichkeit mit dem Tunnel.
MfG,
Sacha

[S.Kremer]

Na denn mal los Sacha

Wie es geht ist oben beschrieben

so long
S.Kremer

[S.Kremer]

OK,

Kommando zurück, das wird dir nichts bringen, da springt deine Firewall im Dreieck wenn sie richtig konfiguriert ist.

Andere Idee:

Du musst root auf der Firewall besitzen!

1. Du gehst auf Rechner 1
2. Loggst dich per root ein
3. Du gibst ein
=> ssh -L4001:<IP-Rechner2>:22 root@<IP-Firewall>
4. öffnest eine _neue_ Console/terminal und gibst ein
=> ssh -p 4001 UserAufPC2@localhost
4.1. oder eben fuer das scp
=> scp -P 4001 locahost:/home/bla .
(oder eben wie du willst, du kannst ja mit scp saugen als auch schieben)
5. Wenn es klappt solltest du nun durch die Firewall durchgeschleust sein, da root das primäre Recht hat ssh aufzubauen vor der Firewall.

Ich kann dir keine Garantie geben das es klappt, es ist ein Versuch wert, vom loggischen muesst es passen. Ansonsten sehe ich keine Möglichkeit ohne an die iptables/ipchains Regeln ranzugehen (Eventuell stunnel, aber dann wird es grausam kompliziert)

so long
S.Kremer

[SilenceX]

Ist die Firewall zufällicherweise gleichzeitg Proxy?
Dann kannst du dir mal Httptunnel anschauen.

Du könntest so verfahren:

R1 ---> FW --> R2

R2: hts -L localhost:8080 22
R1: htc -P ipvonFW:8080 -L 30 ipvonR2:8080

jetzt machst du einfach ein scp auf localhost -p30
und die Daten kommen tatsächlich bei R2 an.

Httptunnel Client(htc) und Server(hts) gibts für
Windows und Linux.

Quelle:
http://www.nocrew.org/software/httptunnel.html