Blick in den Tunnel

SSH eignet sich nicht nur zum Bereitstellen einer Konsole auf einem entfernten Rechner, sondern beherrscht auch das Tunneln von Verbindungen, worauf beispielsweise Anwendungen wie X2go [4] aufbauen. Damit leiten Sie bestimmte Verbindungen weiter, um Dienste der beteiligten Maschinen oder der von ihnen aus erreichbaren Systeme zugänglich zu machen. Der große Vorteil: Sie benötigen dazu jeweils nur den für SSH genutzten Port, lokale Firewall-Restriktionen spielen kaum eine Rolle. PAC bietet in der zweiten Kategorie namens SSH Options die Möglichkeit, das Tunneling zu konfigurieren, wobei drei Varianten zur Auswahl stehen, die Sie miteinander kombinieren dürfen.

Beim Local Port Forwarding öffnen Sie auf der lokalen Maschine einen Port, der auf einen Port der Gegenseite verweist. Das Remote Port Forwarding geht den genau umgekehrten Weg und stellt lokale Dienste für die Gegenstelle bereit. Um beliebige ausgehende Verbindungen durchzuschleifen, steht zudem noch ein SOCKS-Proxy bereit, über den Sie beispielsweise den lokalen Browser umleiten könnten. Dieses Verfahren eignet sich zum Umgehen von Firewalls, etwa auf Messen, in der Firma oder in Hotels.

Das Beispiel aus Abbildung 5 verdeutlicht die Funktionsweise: Die gezeigte Konfiguration öffnet auf der lokalen Maschine den Port 10000, Verbindungen dorthin leitet sie via SSH auf denselben Port am Ziel-Server weiter. Die zweite Zeile geht noch einen Schritt weiter und öffnet einen lokalen Port 20000, der auf Port 80 des Hosts intranet.meinefirma der Gegenseite verweist. Mit dieser Technik bauen Sie sich eine Art Mini-VPN auf, über das Sie eigentlich nur intern zugängliche Systeme per SSH-Verbindung aufrufen, oder beispielsweise dem Office-Paket am entfernten Server Zugang auf Ihren lokalen Netzdrucker geben.

Abbildung 5: Licht am Ende des Tunnels – dank der Port-Forwarding-Fähigkeiten von PAC.

Hier konfigurieren Sie weitere Details zur Verbindung, wie beispielsweise die zu verwendende SSH-Version, wobei alle modernen Systeme automatisch die sichere Version 2 unterstützen. Anwender, die schon über einen IPv6-Zugang verfügen, stellen mittels IP Protocol ein, welches Protokoll die Sitzung verwenden soll. In der Regel genügt es, sowohl die SSH-Version als auch das IP-Protokoll auf der Standardeinstellung any zu belassen.

Zudem haben Sie die Möglichkeit, noch weitere SSH-Parameter anzugeben, die Sie beispielsweise der Manpage (man ssh_config) entnehmen. Vier häufig genutzte Parameter – das Weiterleiten von X11-Verbindungen, das Aktivieren der Kompression, das Weiterleiten lokaler Ports an das Zielsystem sowie das Agent-Forwarding [5] – stellt PAC direkt zum Anklicken bereit, die übrigen geben Sie als Freitext ein. Mittels -o "VerifyHostKeyDNS=yes" liest das Programm beispielsweise den Host-Fingerprint aus dem DNS aus [6].

Wie von Zauberhand

Die beiden nächsten Kategorien, Pre Exec und Post Exec, erleichtern in vielen Fällen die Arbeit: Mit ihnen legen Sie fest, welche lokalen Befehle PAC vor dem Aufbau und nach dem Ende der Verbindung ausführt (Abbildung 6). Auf diesem Weg setzen Sie beispielsweise Portknocking-Befehle [7] ab oder lassen bei Abbruch der Verbindung einen Sound erklingen.

Abbildung 6: Über die Pre-Exec-Option rufen Sie beispielsweise ein Portknocking-Skript auf.

Komfortabel ist zudem die Möglichkeit, vordefinierte Befehle als Makros für den lokalen Rechner und sowie den Server einzurichten. Diese führen Sie über das Kontextmenü in einer bestehenden Sitzung aus (Abbildung 7), um sich dadurch lästige Tipparbeit zu ersparen. Zum Schutz vor ungewollten Klicks schalten Sie über die Funktion Confirm noch eine Sicherheitsabfrage davor (Abbildung 8).

Abbildung 7: Makros im Kontextmenü sorgen für mehr Komfort, indem sie wiederkehrende Tipparbeit übernehmen.
Abbildung 8: Sicherheit geht vor – auf Wunsch fordert PAC Sie auf, eine Aktion nochmals zu bestätigen.

Zu guter Letzt stellen Sie in der Kategorie Terminal Options noch das Erscheinungsbild des Terminalfensters ein. Dabei passen Sie gegebenenfalls auch die Erkennungsmuster für Benutzername und Passwort an, sollte die automatische Anmeldung einmal nicht funktionieren. Um die Einstellungen zu schützen, speichern Sie sie zunächst durch einen Klick auf die entsprechende Schaltfläche ab. Dann wählen Sie im Kontextmenü Protect aus, was unbeabsichtigte Änderungen verhindert: Erst nach einem Klick auf Un-Protect lässt sich die Konfiguration wieder bearbeiten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Klopf, klopf
    Rechner mit Internetzugang gilt es, gegen Angreifer abzusichern. Eine ebenso faszinierend einfache wie auch effiziente Barriere schafft ein Portknocker.
  • Netzwerkverkehr analysieren mit Iftop
    Träge Netzwerkverbindungen können einem den letzten Nerv rauben. Da hilft häufig ein Blick auf die Netzwerkebene, um zu wissen, wo es klemmt. Mit Iftop analysieren Sie flink, welche Verbindungen sich auf der Leitung tummeln.
  • SSH über unzuverlässige Leitungen
    SSH nervt, wenn die WLAN-Verbindung immer wieder abbricht, sich die IP-Adresse ändert, die Datenpakete über GSM nur tröpfeln und man das Getippte erst nach Sekunden zu Gesicht bekommt. Glücklicherweise gibt es AutoSSH und Mosh.
  • Datenschaufler
    Der konsolenbasierte Client Yafc erledigt den Datentausch mit FTP- und SSH-Servern komfortabel, einfach und interaktiv.
  • Cryptcat analysiert PCs im Netzwerk
    Cryptcat hilft nicht nur bei der Netzwerkanalyse, sondern eignet sich auch zum Aufbau eines kleinen, verschlüsselten Privatchats.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 0 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...
Für Linux programmieren
Alexander Kramer, 25.11.2017 08:47, 3 Antworten
Ich habe einen Zufallsgenerator entworfen und bereits in c++ programmiert. Ich möchte den Zufalls...