SSH-Tunnel

K

kalil1234

0
Hallo leute,

naja einige freunde von mir kommen von ihrem schulnetz nicht auf silkroad (onlinegame) da dies einen anderen port verwendet... und an der schule ist nur port 80 offen.. naja.. http.... nun hab ich mich einwenig informiert und rausgefunden das ich bei mir daheim nen server laufen lassen kannn welcher einfach portforwarding aktiviert hat.. naja nur ist die frage ich willl denn tunnel verschlüsselt haben das die schulfirewalll den datenverkehr auf keine art und weise "mitlesen" bzw. ziel etc... herausfindet.. naja nun ist meine frage wie ich so nen server auf meine PC daheim laufen lassen kaannnn sodass dieser dann meine freunde auf die gewünschte ziel ip : port leiten kann...

Bitte um hilfreiche beiträge...

mfg kalil
 
Der Admin wird sicherlich seine Gründe gehabt haben, wenn er außer Port 80 alles dicht gemacht hat, denn in der Schule solltet ihr keine Spiele spielen, sondern dem Unterricht folgen.
 
Die Firewall sieht in jedem Fall, dass die Verbindung zu dir nach Hause geht. Und ob die Daten jetzt verschlüsselt sind oder nicht, finde ich egal. Auffällig ist beides, falls sich einer bei euch die Mühe macht, sowas zu kontrollieren.

PS: Ich kann dich gut verstehen (bin ja selbst noch Schüler), aber wir haben unser Quake und sind damit zufrieden.
 
Naja dass der Admin seine Gründe hat ist mir klar.. jedoch braucht man sich mal über den traffic keine Sorgen zu machen da sowieso die halbe schule über http_DL's alle möglichen daten runterzieht naja.. und ob wir jetzt in ner 2 stündigen mittagspause silkroad zockn oder Music ziehn kommt vom Sinn her aufs gleiche.. und keine Sorge bitmuncher wir passen im Unterricht auf. naja.. dachte dass ich hilfreiche antworten kriege und nicht darauf hingewisen werde das der Admin sein Gründe hat, und apropos admin, der admin ist unser Abteilungsvorstand welcher hier an der schule nur willl das wir keinen spaß haben.. nach dem wir im PC LABOR mal die ports im Schulnetz gescannt haben, verwarnte dieser "admin" uns mit nachsitzen... also bittte ich finde um sich vor solchen sachen zu schützen und die funtionsweise zu erlernen gehört auch einwenig praxis dazu... naja ok... finds echt schade das mir hier nicht geholfen wird...
aber werde schon einen weg finden

danke trtzdm...

mfg kalil


OK: nach einwenig recherchieren und bei freunden nachfragen hab ich dies herausgefunden:

mal als erstes soll ich das SSH 2 Protokoll verwenden da diese Art der Verschlüsselung viel sichrer ist;

ok ich lasse im 1. schritt die verschlüsselung weg;

also also erstes benötigt man einen erreichbaren SSH Server ;
dies übernimmt für mich unter Windows putty;

--> 1) Zielhost und Zielport eingeben; direkt im Menüpunkt Session (1. punkt )
als protkoll natürlich SSH ankreuzen;
--> 2) Nun unter dem Punkt SSH / Tunnels das Portforwarding einrichten:
x als Sourceport gebt ihr irgend einen freien port auf dem SSH Server an;
x also Destination muss man einen erreichbaren Host, RELATIV zum
SSH-Server angben (z.b localhost) und durch doppelpunkt getrennt noch
der zielport.
--> 3) Naja und nun hinzufügen Name für die Sitzung vergeben und speichern.

Dies war für Win Maschinen, nun zum Portforwarding unter UNIX systemen (mit generiertem schlüssel für authentification:

--> 1) ssh -L $LOKALERPORT:$TUNNELZIEL:$ZIELPORT $USER@$SSHSERVER -p $SSHPORT

Erster Port ist wieder der lokale, das zweite die Tunnel-Zielmaschine und der Dritte der RemotePort. Ausserdem kann man sich auf Kommandozeilen noch das Leben erleichtern durch Keybasierendes Login:

--> ssh-keygen -t rsa
damit generiert man die Schlüssel, dazu alles mit Enter bestätigen, kein Passwort eingeben! dann auf der remote-Maschine sicherstellen dass das Verzeichnis .ssh im Homedirectory existiert.

--> cat ~/.ssh/id_rsa.pub | ssh user@remote ?cat >> ~/.ssh/authorized_key
damit überträgt man den Public Key auf den server, und kommt von nun an Passwortlos hinein.

----------------------------- Also habe mal mit Putty getestet und läuft...
Werde bei gelegenheit noch unter UNIX testen und posten.. aber sooo müsste allles stimmen... hoffe dies kann anderen hilfreich sein...

nochmals Mfg Kalil
 
Ich kann dich durchaus auch verstehen, aber du mußt auch unsere Seite sehen. Was du vorhast nennt sich Firewall Piercing und je nach den Regelungen eurer Schule kann das Konsequenzen für dich haben, wenn auch sicherlich keine strafrechtlichen.
 
ja bitmuncher, klar versteh ich euch,.. aber wir machen dies ja nicht um irgendwem zu schaden etc... wir machen dies nur um auch was "sinnvolles" in der pause zu tun...
Und ich glaube weniger das es konsequenzen an der schule gibt... das wird denk ich mal stark tolleriert..

wir hatten beispielsweise in der 1. klasse einen WEBFEX client auf jedem pc in der schule installiert, und wir konnten soo nicht ins netz... also denke mal das der nur de IE blockt und nicht den http port.. da ich und n kolle rausfanden das wir mit Mozilla FF ins net kamen.. der lehrer fands nur cool und dachte sich das wenn wir schon auf sowas kommen wir es auch nutzen können... jetzt sind wir alle im besitz von Notebooks und haben soclhe probleme nicht mehr.. aber naja... abgesehen davon ist s nicht sooooo streng... und ich wolllte nur was lernen bei der sache mit dem "Firewall Pircen" net mehr und ned weniger... naja... ich hab jetzt mein Lösung.. ich bitte euch... auch bitmuncher (da ich weiß das du dich supppper mit UNIX auskennst) um Feedback... auch bezüglich Verschlüsselung.. denke das dies dann ned bessre Übung ist wenn ich schon check wie mans richtig verschlüsselt... und ob dies unter linux sooo stimmmt das protforwarding einrichten...

Naja danke im vorraus...

Mfg kalil
 
also denke mal das der nur de IE blockt und nicht den http port.. da ich und n kolle rausfanden das wir mit Mozilla FF ins net kamen..
Zum Vergrößern anklicken....

ROFL, war aber bei uns genau das gleiche. Wenn dir bei uns der "Admin" (Ironie) vertraut, darfst du aber sowieso machen, was du willst. Hauptsache, die Rechner sind schnell und alles läuft wie immer.
 
Verschlüsselung hast du bei einem SSH-Tunnel automatisch und solange du einen SSH2-only-Server nutzt (also Protokoll-Version 1 in der sshd_config rausnehmen), ist das ganze nicht abhörbar. Ein fähiger Admin wird aber schon aufgrund deiner vermutlich dynamischen IP zu Hause leicht herausbekommen, wenn ein Tunnel benutzt wird, von der Traffic-Analyse mal ganz abgesehen. Wenn du Pech hast, nutzt er sogar Blacklisting-Server mit Listen der dynamisch vergebenen IP-Ranges in Deutschland und blockt jeglichen Zugriff auf diese.
Auf jeden Fall wirst du ausführliche Howtos zu dem Thema bei Google finden. Natürlich hätte ich dir auch eine Anleitung posten können, da es prinzipiell nicht illegal ist und vom Prinzip her mit Putty, IPTables und sshd auch recht einfach, ich möchte aber darum bitten zu verstehen, daß ich als Admin das nicht tun werde. Ich kenne selbst das Problem der (in meinem Fall) Kollegen, die ständig versuchen meine Sicherheitsmechanismen zu umgehen, was für mich immer ärgerlich und mit zusätzlichem Zeitaufwand (Kollegen anschnauzen) verbunden ist. Ich schlage mich also hier mal auf die Seite eures Admins. ;)
 
Original von bitmuncher
Kollegen, die ständig versuchen meine Sicherheitsmechanismen zu umgehen
Zum Vergrößern anklicken....
Schlimm genug, wenn einige Software so einen Mist schon aus Prinzip macht (Skype, Hamachi), da muss man's nicht auch noch unterstützen, wenn Menschen mit Absicht das HTTP-Protokoll pervertieren :)
 
du kannst einfach zu hause einen ssh-deamon laufen lassen und bei diesem port forwadding von 80 auf den silkroad server einstellen. Du musst nur aufpassen, dass du bei deinem DSL-Router auch den Port 80 auf den richtigen PC weiterleitest.

lg
Imons

P.S.: Du würedest mich sogar persönlich kennen, hättest also nur mich fragen müssen. ^^ ( Er geht mit mir in die gleiche Klasse. xD)
 
ich bin der meinung dass man das jedem selber überlassen sollte, ob er dem Unterricht folgt oder lieber ein Spiel spielt. Nur sind sich die meisten nicht klar welche Konsequenzen dass das haben kann...
 
Original von Imons
du kannst einfach zu hause einen ssh-deamon laufen lassen und bei diesem port forwadding von 80 auf den silkroad server einstellen. Du musst nur aufpassen, dass du bei deinem DSL-Router auch den Port 80 auf den richtigen PC weiterleitest.

lg
Imons

P.S.: Du würedest mich sogar persönlich kennen, hättest also nur mich fragen müssen. ^^ ( Er geht mit mir in die gleiche Klasse. xD)
Zum Vergrößern anklicken....

Sry 4 OFFTOPIC :
-> Vielleicht ist euer Admin ja auch hier angemeldet.
Das würde euch sicherlich eine Menge Spaß in der Schule bescheren :)
 
nö, unsere admin ist "leider" eine vollpfeife (zumindest einer). Wir hatten ihn schon vor einem Monat gebeten die Ports für SMTP bzw. POP3 zu öffnen, da wir diese nicht nur um E-Mails abzurufen sondern auch für den Unterricht brauchen. (Wir haben mit VMWare bzw. VirtualPC, Windows 2003 Server aufgesetzt + Exchange Server), Außerdem ist er ein totaler windows fan und würde nicht mal auf die Idee kommen in ein Forum zu schauen wo Linux/Unix drauf steht. ^^

lg
 
Original von Xalon
Kann squid kein HTTPS?
Zum Vergrößern anklicken....

HTTPS läuft aber im Normalfall auf Port 443. Wenn also nur Port 80 freigeschaltet ist, wird das nichts. Abgesehen davon halte ich Squid für sowas für total ungeeignet. Das ist ein HTTP-Proxy und dürfte bei Spielen wohl einige Probleme machen, bis da alles läuft. Ein SSH-Tunnel ist da schneller aufgesetzt.

Wie auch immer... wir wollen ja nicht daß kalil1234 von seiner Schule fliegt wegen sowas und daher hoffe ich, daß die hier gefallenen Stichworte genug sind, als daß er sich selbst zurecht findet. Den Thread habe ich nur noch nicht geschlossen, weil die Sache strafrechtlich unbedenklich ist (wenn auch nicht unbedingt ohne Konsequenzen). Ich möchte aber nochmal darauf hinweisen, daß das Tunneln einer Firewall in einer Schule oder Firma selten ohne Konsequenzen bleibt, wenn es entdeckt wird. In unserer Firma z.B. wäre das ein Grund für eine Kündigung und mir sind Schulen bekannt, wo sowas mit Tadeln, Verweisen, Ausschluß aus Wahlpflichtkursen Informatik u.ä. geahndet wird. Überlegt also bitte ganz genau, ob es sowas Wert ist nur um ein wenig Spaß zu haben.
 
also so streng sind sie bei uns auch wieder nicht. @bitmuncher

Außerdem haben wir dieses Thema auch schon im Labor besprochen, nur dort sollten wir
den Port nicht auf ein Spielserver sondern auf einen IRC-Server weiterleiten.
(Was ja im Prinzip kein großer Unterschied ist...)
Daher ist es mir rätselhaft wieso kalil hier nochmal nachfragt. ^^

lg
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben