← Back to team overview

sslug-teknik team mailing list archive

Re: Ssh til mange maskiner bag firewall

 

Mogens Valentin wrote:
Ole Kofoed Hansen wrote:

Kunne det ikke klares med at man har forskellige navne til de skjulte maskiner? Noget i stil med at *.domæne.dk peger på en maskine, og man så bruger port 65001 til gemt1.domæne.dk, 65002 til gemt2.domæne.dk osv. Hvis man bruger forskellige navne, vil ssh så ikke se det som forskellige maskiner, selvom de tilsyneladende har samme IP?


Du tænker på at nøglen for hvert system har en identifier (IP eller FQDN), og at man derfor måske kan bruge samme nøgle til flere systemer?


Nej, jeg jeg tænker på, at min ssh-klient har en identifier for hvert system, jeg har snakket med. Den identifier er den, jeg brugte til at forbinde til maskinen med. For eksempel har min ssh-klient både en entry for sandbox.adsl.dk og for www, som er et "genvejsnavn" i min hosts-fil til det samme IP. Hvis jeg kun havde brugt genvejen, ville den spørge om nøglen skulle godkendes, når jeg kører "ssh sandbox.adsl.dk". Dette har jeg lige afprøvet bare for at være sikker på, at jeg ikke bilder jer noget ind.

Jeg ville derfor forestille mig, at man i sin konf til sin ssh-klient kunne have en entry med navn for hver af de gemte maskiner, hvor man angiver den relevante port. Da maskinerne bliver tilgået med forskellige navne, burde ssh lave særskilte entries for dem, og det skulle derfor ikke være et problem, at de har forskellige nøgler selv om de "tilfældigvis" ligger på samme IP.

Hvis man derimod brugte IP-adressen i stedet for navne til at tilgå de gemte maskiner, ville ssh nok blive forvirret, da den så ikke har nogen indikation af, at der er tale om forskellige maskiner.

NB! Jeg er ikke ssh-ekspert, og har ikke selv afprøvet om mine teorier holder vand, så jeg vil ikke afvise, at jeg muligvis er ude på et vildspor.

Med venlig hilsen

Ole


Follow ups

References