← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #82114

Re: Ssh til mange maskiner bag firewall

  Thread PreviousDate PreviousThread Next 
Ole Kofoed Hansen wrote:

Mogens Valentin wrote:


Ole Kofoed Hansen wrote:
Kunne det ikke klares med at man har forskellige navne til de skjulte maskiner? Noget i stil med at *.domæne.dk peger på en maskine, og man så bruger port 65001 til gemt1.domæne.dk, 65002 til gemt2.domæne.dk osv. Hvis man bruger forskellige navne, vil ssh så ikke se det som forskellige maskiner, selvom de tilsyneladende har samme IP?
Du tænker på at nøglen for hvert system har en identifier (IP eller FQDN), og at man derfor måske kan bruge samme nøgle til flere systemer?
Nej, jeg jeg tænker på, at min ssh-klient har en identifier for hvert system, jeg har snakket med. Den identifier er den, jeg brugte til at forbinde til maskinen med. For eksempel har min ssh-klient både en entry for sandbox.adsl.dk og for www, som er et "genvejsnavn" i min hosts-fil til det samme IP. Hvis jeg kun havde brugt genvejen, ville den spørge om nøglen skulle godkendes, når jeg kører "ssh sandbox.adsl.dk". Dette har jeg lige afprøvet bare for at være sikker på, at jeg ikke bilder jer noget ind. 

Jo, vi snakker om det samme.
Det kan dog ikke lade sig gøre. Den identifier du omtaler, er et FQDN.
Om dette findes i internet DNS hierakiet, eller du har navnet i en lokal hostfil, er ligemeget; det er stadig et entydigt FQDN pr. maskine.
Jeg ville derfor forestille mig, at man i sin konf til sin ssh-klient kunne have en entry med navn for hver af de gemte maskiner, hvor man angiver den relevante port. Da maskinerne bliver tilgået med forskellige navne, burde ssh lave særskilte entries for dem, og det skulle derfor ikke være et problem, at de har forskellige nøgler selv om de "tilfældigvis" ligger på samme IP.
Hvis man derimod brugte IP-adressen i stedet for navne til at tilgå de gemte maskiner, ville ssh nok blive forvirret, da den så ikke har nogen indikation af, at der er tale om forskellige maskiner. 

Same thing, bare IP i stedet for FQDN..

--
Kind regards,
Mogens Valentin

References

  Thread PreviousDate PreviousThread Next