SSH Tunneling naar thuis netwerk?

[mainstream]

Hallo allemaal,

Ik heb thuis een server staan met daarop verschillende services (sabnzbdplus, sickbeard, etc).

server: 82.x.x.x
poorten services: 8080, 8081, 8083
ssh port: 1337 (met fail2ban, iptables, etc)


Nu wil ik graag via ssh de port tunnelen, zodat ik deze services via mijn telefoon of werk kan beheren, via de ssh poort (1337).
Maar hoe kan ik dit het beste doen?

Code: [Selecteer]

ssh -R 8080:localhost:8080 82.x.x.x.x -p 1337?
Waarom?
1) Eenvoudig alles behoren via een poort;
2) Al het verkeer is versleuteld;
3) Het is niet mogelijk bij de diensten te komen zoder ssh-key en juist ipadres (veiligheid);
4) Omdat ik ervan leer ;
5) En: omdat het kan!

[kuifje09]

Ik vond dit ergens.. https://help.github.com/articles/using-ssh-over-the-https-port

i.p.v. https kan je natuurlijk ok een andere poort nemen.

Mocht je (lokale) proxy een passwd verlangen dan wordt het een ander verhaal.
En als je baas het er niet mee eens is.....

[Cheap Applications]

Bij mij is het eigenlijk alleen ssh aan zetten op de server en de poort in m'n router open zetten. Vervolgens log ik in met ssh gebruiker@ip.
Ik vraag me trouwens af, waarom niet de default port voor ssh gebruiken?

[markba]

Ik vraag me trouwens af, waarom niet de default port voor ssh gebruiken?

Omdat deze zoals hierboven al aangegeven wordt, vaak geblokkeerd wordt door systeembeheer.

Daarnaast wordt een standaard poort altijd aangevallen: veel (de meeste) aanvallen zijn simpele scriptjes die alleen de standaard poorten scannen, vaak al binnen minuten nadat je poort hebt geopend naar internet (heb ik ervaren). Een andere poort gebruiken reduceert dit soort aanvallen drastisch met 95% of zo. En ook dat heb ik zo ervaren door toepassing van het pakket denyhosts die deze aanvallen detecteert én blokkeert.

[mainstream]

Bij mij is het eigenlijk alleen ssh aan zetten op de server en de poort in m'n router open zetten. Vervolgens log ik in met ssh gebruiker@ip.
Ik vraag me trouwens af, waarom niet de default port voor ssh gebruiken?

Omdat ik. sinds ik port 22 op had staan, al direct portscans en brute force attacks kreeg vanuit China, lol.

[mainstream]

Bedankt voor de tips allemaal

Echter heb ik nog een probleem:

Ik krijg dus alleen de poorten getunneld als ik op hetzelfde netwerk zit als mijn server. Snap er niks van.
Heb het ip van mijn telefoon in hosts.allow staan...

[mainstream]

Ah ik heb het waarschijnlijk gevonden:

mainstream@oxytocine-pc:~$ cat /var/log/auth.log

Code: [Selecteer]

Nov 30 17:45:58 oxytocine-pc sshd[15673]: warning: /etc/hosts.allow, line 13: host name/address mismatch: 92.69.x.x != static.kpn.net
Nov 30 17:45:59 oxytocine-pc sshd[15673]: Address 92.69.x.x maps to static.kpn.net, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov 30 17:45:59 oxytocine-pc sshd[15673]: Accepted password for mainstream from 92.69.x.x port 29833 ssh2
mainstream@oxytocine-pc:~$ cat /etc/hosts.allow

Code: [Selecteer]

# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
ALL : localhost : allow
ALL : 192.168.2. : allow
ALL : 92.69. : allow
ALL: .knp.net : allow


[Cheap Applications]

Bedankt voor de tips allemaal

Echter heb ik nog een probleem:

Ik krijg dus alleen de poorten getunneld als ik op hetzelfde netwerk zit als mijn server. Snap er niks van.
Heb het ip van mijn telefoon in hosts.allow staan...

Dan gebruik je denk ik je interne IP (192.168..., 172... 1.0...). Zie http://www.ipchicken.com/ voor je externe IP.

[mainstream]

Bedankt voor de tips allemaal

Echter heb ik nog een probleem:

Ik krijg dus alleen de poorten getunneld als ik op hetzelfde netwerk zit als mijn server. Snap er niks van.
Heb het ip van mijn telefoon in hosts.allow staan...

Dan gebruik je denk ik je interne IP (192.168..., 172... 1.0...). Zie http://www.ipchicken.com/ voor je externe IP.

Ja, maar zie net dat mijn ip op mijn telefoon dynamisch is. Die veranderd continue. Hoe kan ik dit nu het best aanpakken i.v.m. veiligheid?

[Cheap Applications]

Je whitelist weg halen. Als je een prima wachtwoord heb dan komen ze je verbinding niet binnen.

[mainstream]

Je whitelist weg halen. Als je een prima wachtwoord heb dan komen ze je verbinding niet binnen.

Dat heb ik al geprobeerd, maar het werkt maar niet. Snap er geen meter van.

[testcees]

5) En: omdat het kan!

Wat ook kan is VPN gebruiken. Veel toestellen kunnen standaard een VPN verbinding gebruiken (Android: instellingen → netwerken → Meer...)

Installeer op Linux bijvoorbeeld pptpd. Voordeel is dat alle netwerktoepassingen en poorten automagisch via deze veilige VPN 'tunnel' gaan.

p.s. Thuis gebruik ik hiervoor een raspberry pi met raspbian die altijd aan staat om via VPN alle apparaten op mijn eigen netwerk gebruiken (en mijn eigen internetaansluiting).
Was 5 minuten werk met deze handleiding: http://freehostinganswers.com/blog/how-to-install-your-own-vpn-server-in-5-mins-pptp-on-centos-redhat-and-ubuntu/

Een andere optie is openvpn.

[mainstream]

5) En: omdat het kan!

Wat ook kan is VPN gebruiken. Veel toestellen kunnen standaard een VPN verbinding gebruiken (Android: instellingen → netwerken → Meer...)

Installeer op Linux bijvoorbeeld pptpd. Voordeel is dat alle netwerktoepassingen en poorten automagisch via deze veilige VPN 'tunnel' gaan.

p.s. Thuis gebruik ik hiervoor een raspberry pi met raspbian die altijd aan staat om via VPN alle apparaten op mijn eigen netwerk gebruiken (en mijn eigen internetaansluiting).
Was 5 minuten werk met deze handleiding: http://freehostinganswers.com/blog/how-to-install-your-own-vpn-server-in-5-mins-pptp-on-centos-redhat-and-ubuntu/

Een andere optie is openvpn.

Bedankt voor de tip
Ik had al even een vpn server geïnstalleerd ja. Werkt een stuk makkelijker en eenvoudiger.
Ik wil ook nog een rasberry pi of equivalent die als nas en vpn gaat dienen. Denk aan een model met 2GB ram en rk3188 quadcore processor. Daarmee kan je makkelijk het flash geheugen flashen met ubuntu (arm).

Is er trouwens een mogelijkheid om dit op een andere poort te draaien?