ssh über internet

[Martins12]

Hey

ich hab einen linux server in Virtualbox aufgesetzt und möchte auf diesen übers Internet mittels SSH zugreifen können.

So lange der client im selben Netz ist, klappt das wunderbar. (egal ob andere VM, Host OS oder per wlan...). Bloß über das Internet klappt es nicht.
Ich hab dazu schon den port 22 im Router auf die lokale ip des Linux-servers, ge´forwarded.
p.s. per Konsole, kein putty....
jemand eine idee?


Beste Grüße

 

[Falc410]

Du musst ggf. in Virtualbox auch noch ein Port-Forwarding einrichten - das ist abhängig von der Netzwerkkarte / Typ den du der VM zugewiesen hast. Aber default ist ja ein NAT Gateway oder sowas ähnliches.

 

[Ic3HanDs]

Firewall geprüft? In diesem Fall kann es auch die Windoof Firewall sein.

 

[PERKELE]

In solchen Fällen wäre es auch das mindeste den Standardport (22) auf einen anderen zu wechseln. ;-)

 

[Cool Master]

@Red-John

Einfach PW Auth abschalten und mittels Public Key machen, dann ist das kein Problem. Dazu noch Fail2Ban und alles ist ok

Wie schon gesagt wurde musst du Port-Forwarding anschalten und je nach Router auch Port 22 von externen IPs erlauben.

Was läuft auf dem Server? Evtl. würde es sich lohnen das im Internet selbst zu hosten.

 

[Merle]

Anbindung? Hast du überhaupt ne public IPv4? (Komm nicht mit MBit-Angaben. Bitte die Art des Anschlusses, den Tarif, und, sofern du es weißt, ob du ne public IPv4 hast.)

 

[BioFarmer]

Wie wäre es mit einer VPN Verbindung in dein Heimnetz?

 

[Raijin]

Hm.. Ich hoffe mal du hast den ssh-server ausreichend gesichert (zB kein pw auth) und ggfs noch fail2ban, o.ä. laufen. Wenn man ohne halbwegs belastbare Kenntnisse einen ssh-Server ins Internet stellt und ihn nicht ordentlich absichert, ist er im worst case bereits nach wenigen Minuten durch einen Portscanner aufgedeckt und mit einer Wörterbuchattacke geknackt - weil das Passwort eben doch nicht so gut war...


Den Port zu verlegen ist mehr oder weniger fiktive Sicherheit, nennt sich "Security by obscurity". Einige AKWs haben beispielsweise Nebelanlagen, die vor Angriffen schützen sollen - von Schiffen entlehnt. Der Unterschied ist nur der, dass sich ein Schiff in der Zwischenzeit wegbewegen kann, ein AKW jedoch nicht. So ist auch ein geänderter ssh-Port weitestgehend Augenwischerei, wenn der ssh-Server dahinter nicht trotzdem ausreichend gesichert ist - und wenn er das ist, kann er auch auf Port 22 bleiben.

Wie auch immer, wenn du dir darüber im klaren bist was du da tust, solltest du mittels tcpdump erstmal schauen ob am Server überhaupt Daten über die Portweiterleitung reinkommen. Wenn nicht, dann ist entweder die Portweiterleitung im Router nicht korrekt oder dieser leitet nur an das Host-System weiter und dieses muss dann wiederum eine Portweiterleitung in die VM haben (wenn die VM als Netzwerk=NAT) eingestellt ist. Ist die VM hingegen als Bridged eingestellt, hat sie eine eigene IP im LAN und der Router kann direkt an die VM weiterleiten.
Bei der VM angekommen und bei tcpdump angezeigt müssen die Pakete nun von der Firewall akzeptiert werden. Dafür ist die "INPUT" Chain der iptables bzw. der darunterliegenden netfilter Firewall zuständig. Hier muss der eingehende Traffic auf Port 22 allowed werden.

Je nachdem was du mit dem Server tun willst, empfiehlt es sich jedoch unter Umständen, direkt einen VPN-Server aufzusetzen und somit nur über VPN von außen auf den Server zuzugreifen. Der Vorteil ist der, dass du dann zB auch auf den Rest des Netzwerks zugreifen kannst und der ssh-Server überhaupt nicht offen im www stehen muss.