sslug-teknik team mailing list archive

Thread
Date

Re: Omvendt SSH

To: sslug-teknik@xxxxxxxx
From: Christoffer Hall-Frederiksen <hall@xxxxxxx>
Date: Thu, 11 May 2000 17:00:06 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <Pine.LNX.4.10.10005110921480.5863-100000@unf.dk>; from Anders Thorsby on Thu, May 11, 2000 at 09:36:18AM +0200
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

On Thu, May 11, 2000 at 09:36:18AM +0200, Anders Thorsby wrote:
> Jeg har en server med fast IP (Maskine1), og en maskine der er bag en
> firewall/masq (Maskine2) med en kendt offentlig IP og ukendt fast IP på
> min klient. Jeg kan uden problemer SSH'e fra Maskine2 til Maskine1, og har
> så fået den ide, om man kan bruge dette "hul" igennem masqen til at få
> shelladgang den anden vej. Altså SSH'e til Maskine1 fra en tredie maskine
> (Maskine3), og igennem den åbne forbindelse som er oprettet fra Maskine2
> til Maskine1 igennem masqen, få login på Maskine2 bag masqen fra Maskine3.
> 
> Jeg forestiller mig nok ikke at man laver en almindelig SSH fra klienten
> til serveren, men kan man bruge princippet til noget???
> 
> Alle ideer er velkomne!

Det kan du ikke. Selv om en masq-firewall ville tillade pakker med
syn-bitten sat fra Maskine1 til Maskine2, skal du regne med at
forbindelsen kommer fra en port i området 1024-65535 på Maskine2 (lad
oskalde porten P ;) til port 22 på Maskine1. Selv hvis der var et
syn-hul tilbage skal din sshd på Maskine 2 lytte på P. Det kan den
ikke fordi du allerede kar en udgående forbindelse på porten.

Syn-bitten er den bit i TCP-headeren der der indikerer at en
forbindelse skal etableres. Hvis man vil blokere indkommende men ikke
udgående forbindelse forbyder man normalt pakker med syn-bitten
sat. Det kunne jeg forestille mig at MASQ-koden bruger (uden at vide
det ;)

--
	Christoffer

References

Omvendt SSH
From: Anders Thorsby, 2000-05-11