Wermescher Advisory Logo

So richten Sie eine dynamische SSH-Portweiterleitung unter Linux ein

Inhaltsverzeichnis

Die dynamische Portweiterleitung ermöglicht ein hohes Maß an Flexibilität und sichere Remote-Verbindungen. Sehen Sie, wie Sie diese SSH-Funktion konfigurieren und verwenden.


Gerne verwendet man über Secure Shell (SSH) zugängliche sogenannte „Jump Server“ für den Zugriff auf geschäftskritische Systeme. Administratoren stellen zunächst eine SSH-Verbindung zu diesem „Jump Server“ her (e.g. über ein VPN), bevor sie sich mit dem Zielsystem von dort aus verbinden. Diese Methode funktioniert in der Regel gut, solange ein Administrator bei der Kommandozeile bleibt. Etwas kniffliger wird es, wenn ein Administrator aus dem Bereich der Befehlszeile ausbrechen und stattdessen eine webbasierte Oberfläche verwenden möchte. (e.g. Webmin)

Willst Du z.B. auf einen datenbankserver db.wermescher.com musst Du über den „Jump Server“ jump.wermescher.com gehen:

herwart@AAL:~# ssh jump.wermescher.com
herwart@jump:~# ssh db.wermescher.com
herwart@db:~# 

Willst Du jedoch auf das webmin interface (üblicherweise auf port 10000) dann geht das nicht über die Kommandozeile.

Disclaimer: In einigen Organisationen erlauben die Sicherheitsrichtlinien kein Port-Forwarding. Um sicherzustellen, dass Du keine Regeln verletzt, wende Dich bitte an euren IT-Sicherheitsbeauftragten.

herwart@AAL:~# ssh -L 10000:db.wermescher.com:10000 jump.wermescher.com

Nun kannst Du den Browser Deiner lokalen Workstation auf https://localhost:10000 richten, um auf Webmin für db.wermescher.com zuzugreifen.

ACHTUNG: Dieser Ansatz kann in bestimmten Fällen gut funktionieren, hat aber seine Grenzen:

  • TLS-Zertifikatsvalidierung: Der lokale Browser hat ein Problem, weil in den meisten Fällen der Common Name des Zertifikats nicht mit dem Hostnamen in der Adressleiste (localhost) übereinstimmt, so dass die Zertifikatsvalidierung fehlschlägt.
  • Weiterleitungen: Wenn die Website, auf die Du zugreifst, Dich zu einer anderen URL weiterleitet, schlägt die Verbindung fehl, weil die Portweiterleitung nur für genau diesen Webserver gültig ist. Diese Situation kann z. B. bei der Verwendung von Single Sign-On (SSO) ein Problem darstellen.

Teilen:
Weitere Posts
Windows Core Prozesse verstehen

SMSS.EXE Die Aufgabe des SMSS.exe-Prozesses ist es, neue Sitzungen zu erstellen. Zuerst werden Session 0 und Session 1 erstellt, sobald das Betriebssystem startet. Sitzung 0

Ubuntu LTS Release Update

Erzeuge einen Snapshot auf Contabo Einloggen auf: https://my.contabo.com/account/login Klick auf Ihre Dienste und suche nach der korrekten IP Adresse Klick auf Verwalten – Steuerung Erzeuge

Wie sichere ich meinen SSH-Server unter Linux

Normalerweise wird SSH verwendet, um sicher auf Linux-Server zuzugreifen. Durch Benutzer manuell oder auch durch automatisierte Systeme wie Ansible. Die meisten Benutzer verwenden SSH-Verbindungen mit

Sende uns eine Nachricht