So richten Sie eine dynamische SSH-Portweiterleitung unter Linux ein

Die dynamische Portweiterleitung ermöglicht ein hohes Maß an Flexibilität und sichere Remote-Verbindungen. Sehen Sie, wie Sie diese SSH-Funktion konfigurieren und verwenden.


Gerne verwendet man über Secure Shell (SSH) zugängliche sogenannte „Jump Server“ für den Zugriff auf geschäftskritische Systeme. Administratoren stellen zunächst eine SSH-Verbindung zu diesem „Jump Server“ her (e.g. über ein VPN), bevor sie sich mit dem Zielsystem von dort aus verbinden. Diese Methode funktioniert in der Regel gut, solange ein Administrator bei der Kommandozeile bleibt. Etwas kniffliger wird es, wenn ein Administrator aus dem Bereich der Befehlszeile ausbrechen und stattdessen eine webbasierte Oberfläche verwenden möchte. (e.g. Webmin)

Willst Du z.B. auf einen datenbankserver db.wermescher.com musst Du über den „Jump Server“ jump.wermescher.com gehen:

herwart@AAL:~# ssh jump.wermescher.com
herwart@jump:~# ssh db.wermescher.com
herwart@db:~# 

Willst Du jedoch auf das webmin interface (üblicherweise auf port 10000) dann geht das nicht über die Kommandozeile.

Disclaimer: In einigen Organisationen erlauben die Sicherheitsrichtlinien kein Port-Forwarding. Um sicherzustellen, dass Du keine Regeln verletzt, wende Dich bitte an euren IT-Sicherheitsbeauftragten.

herwart@AAL:~# ssh -L 10000:db.wermescher.com:10000 jump.wermescher.com

Nun kannst Du den Browser Deiner lokalen Workstation auf https://localhost:10000 richten, um auf Webmin für db.wermescher.com zuzugreifen.

ACHTUNG: Dieser Ansatz kann in bestimmten Fällen gut funktionieren, hat aber seine Grenzen:

  • TLS-Zertifikatsvalidierung: Der lokale Browser hat ein Problem, weil in den meisten Fällen der Common Name des Zertifikats nicht mit dem Hostnamen in der Adressleiste (localhost) übereinstimmt, so dass die Zertifikatsvalidierung fehlschlägt.
  • Weiterleitungen: Wenn die Website, auf die Du zugreifst, Dich zu einer anderen URL weiterleitet, schlägt die Verbindung fehl, weil die Portweiterleitung nur für genau diesen Webserver gültig ist. Diese Situation kann z. B. bei der Verwendung von Single Sign-On (SSO) ein Problem darstellen.

Schreibe einen Kommentar