PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH Gateway



chrigu
21.12.07, 09:57
Hallo,
Momentan sind alle Server von uns per SSH aus dem Internet erreichbar. Wir möchten jetzt das ganze etwas einschränken.
Habt ihr bei euch irgendwelche Lösungen im Einsatz. Wir dachten an sowas in Richtung SSH-Gateway. Jegliche Ideen sind willkommen.

Gruss,
Chrigu

marce
21.12.07, 11:02
Wir lösen das über eine externe IP in der Firewall/LB, die dann div. Ports auf die einzelnen Server an den SSHd weiterleitet.

IP:8001 -> Server1:22, 8002 -> Server2:22, ...

Die IP dann noch entsprechend per Firewall und sonstiges abgesichert...

chrigu
21.12.07, 11:26
Ok, aber dann muss man immer wissen, welcher Server hinter welchem Port hängt?

Was ist von folgender Lösung zu halten?
-> http://mirko.dziadzka.net/papers/ssh-gateway/html/ssh-gateway.html

marce
21.12.07, 11:38
Ok, aber dann muss man immer wissen, welcher Server hinter welchem Port hängt?
prinzipiell ja - aber bei einer entsprechenden Struktur dahinter kein Problem.

(bei uns web1..web1xx, durchgehend numeriert, also ohne Lücken und keine Sondernamen)



Was ist von folgender Lösung zu halten?
-> http://mirko.dziadzka.net/papers/ssh-gateway/html/ssh-gateway.html
klingt interessant - im Endeffekt aber auch nicht arg viel anders, oder (im einen Fall merkst Du Dir einen Namen, im anderen Fall einen Port)?

Was die bessere Lösung ist hängt glaube ich sehr von der vorhandenen Infrastruktur ab...

cane
21.12.07, 13:02
Nur einen Server per SSH erreichbar machen, von dem aus kann dann weiterconnected werden.

mfg
cane

choener
21.12.07, 15:12
Was soll überhaupt erreichbar sein? Nur Festplattendaten oder die Rechenkraft der Systeme?

Wir nutzen jedenfalls ssh zu einem zentralen Rechner und von dort aus kann man sich dann weiterverbinden. Falls man allerdings nur an seine Daten möchte, reicht es nach "ssh" auf /vol zuzugreifen.

chrigu
23.12.07, 13:59
Hallo zusammen,
Es geht nur um die Administration der Rechner von Extern.
Die Idee mit dem zentralen Rechner, der von aussen erreichbar ist und dem anschliessenden Weiterverbinden hatte ich auch schon.
Wird wohl die gängiste Methode sein.

Gruss,
chrigu