Mit Hardware-Beschleunigung und schnellem Netz hilft Desktop-Virtualisierung, Administrationsaufwand und Kosten sparen, ADMIN 04/2013 verrät, wie die ... (mehr)

Port-Forwarding

SSH kann mit der Funktion Port-Forwarding auch beliebige andere Protokolle wie etwa FTP absichern. SSH-Port-Forwarding leitet die angegebenen Ports durch eine sichere SSH-Verbindung um, wobei SSH selbst die Rolle eines Proxys übernimmt. Der nimmt auf der einen Seite des Tunnels Verbindungen entgegen und verbindet sie auf der anderen Seite mit dem angegeben Server als Verbindungsendpunkt.

SSH kennt zwei Tunnelbetriebsarten: Local-Port-Forwarding und Remote-Port-Forwarding (ausgehender/eingehender Tunnel), wobei im Normalfall Local-Port-Forwarding zum Einsatz kommt. Die Parameter »-L« oder »-R« geben die Richtung an. Mit Local-Port-Forwarding leitet SSH eine auf einem lokalen Client-Port eingehende Verbindung durch einen sicheren SSH-Kanal auf einen Port des entfernten SSH-Servers um. Das sieht in SSH-Syntax auf einem Linux-Client zum Beispiel so aus:

ssh root@www.thomas-drilling.de -L 555:www.thomas-drilling.de:21

Das Kommando leitet die unsichere FTP-Verbindung zum Server »www.thomas-drilling.de« mit Standard-Port 21 über eine gesicherte SSH-Verbindung um. Der Client »ws1-fed« baut dabei, sofern auf dem Server und dem Client je ein SSH-Server läuft, eine sichere SSH-Verbindung auf. Der lokale SSH-Server lauscht dann auf sämtliche Anfragen, die auf dem lokalen Port 555 von »ws1-fed« eingehen und leitet sie auf Port 21 des entfernten Hosts »www.thomas-drilling.de« weiter. Die weitere Kommunikation erfolgt dann ausschließlich über die zuvor aufgebaute SSH-Verbindung. Danach kann der Admin am lokalen Host »ws1-fed« mit »ftp localhost 555« in einer weiteren Terminal-Session seinen FTP-Client mit der Zieladresse »localhost« auf dem angegebenen Remote Port 555 starten (quasi zu sich selbst) und landet so automatisch auf dem FTP-Server der Gegenseite, mit dem Unterschied, dass der Kanal jetzt sicher ist. Und das Beste: mit dem oben erwähnten auf Cygwin basierende Tool MobaXterm kann der Admin die gesamte Port-Forwarding-Konfiguration im Menü "Tools/MobaSSHTunnel" grafisch zusammenklicken.

Zwar ist FTP angesichts der gezeigten SFTP-Alternativen nicht das beste Beispiel, das funktioniert aber selbstverständlich mit jedem anderen Port oder Dienst genauso. Unabhängig davon, ob der jeweilige Dienst an sich als sicher oder unsicher gilt, profitiert der Admin beim SSH-Port-Forwarding in jedem Fall von der verschlüsselten Verbindung.

Fazit

SSH hat in 14 Jahren seiner Existenz nichts an seiner Nützlichkeit gerade zur Administration von Hosts oder Benutzeroberflächen verloren. Das hat sich auch unter Windows-Administratoren herumgesprochen, denen als Client zahlreiche grafische Tools zur Verfügung stehen, unter denen Putty und MobaXterm herausragen.

WinSSH

Ein weiterer unter Windows recht populärer SSH-/SFTP-Client vom kommerziellen Hersteller SSH Communications Security ist "WinSSH" [13]; nicht zu verwechseln mit dem kommerziellen, für den privaten Einsatz kostenlosen Windows-SSH-Server »win-sshd« [14]. Das für Hochschulen und den nicht kommerziellen Einsatz zum kostenlosen Download [15] verfügbare Programm bietet zwei Komponenten, den "SSH Secure Shell Client for Windows" und "SSH File Transfer for Windows", leistet aber nicht mehr als die bisher gezeigten Tools und ist nicht mehr ganz taufrisch, was sich an der altbackenen Optik zeigt.

comments powered by Disqus
Mehr zum Thema

MobaXterm bringt Linux-Feeling auf den Windows-Desktop

Das Tool MobaXterm ist ein portabler X-Server für Windows, der samt mitgelieferter Unix/Posix-Tools in einer einzigen portablen Exe-Datei steckt. MobaXterm bringt damit im Handumdrehen eine Linux-Kommandozeile samt Tools auf den Windows-Desktop. Dieser Beitrag nimmt die kostenlose Version unter die Lupe und demonstriert, was der Admin mit der Software anfangen kann.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021