SSH Port Forward von WAN

Also, um mich hier mal zurück zu melden.
Erstens versteh ich eure Panik nicht SSH nach draussen auf zu machen. Wenn ich sichere passwörter verwende, nicht port 22 verwende und mit rate limiting arbeite is das überhaupt kein Problem. Ich kenne fast keinen admin der seine SSH ports nicht direkt ins Netz hängt. Man muss halt wissen was man tut.

Ihr mädelt da auch rum wegen VPN .. Leute, die Option den Gateway als VPN Endpunkt zu benutzen haben vielleicht eure USGs aber nicht die UDM. Ausserdem is ein VPN, dessen Schlüssel ich nicht selber erstellt habe weil proprietary software(unifi), weniger sicher als ein offener SSH port.

Zitat von EJHome

Hi!

Das ist ja mal eine ungewöhnliche Frage!

Du mangest 1000 Ubnt Geräte und willst nun wirklich den Port ins WAN bringen. Aber okay!

Firewall-Gruppe erstellen; Inhalt der Port / die Ports, die du erreichen willst.

Firewall-Regel WAN Lokal erstellen; Inhalt Accept TCP from any to Port-Gruppe (die Du erstellt hast auswählen).

Portweiterleitung ist nicht notwendig, die von Dir erstellte Firewall-Regel muss an der Spitze der Firewall-Regeln stehen.

Gruß!

Alles anzeigen

Und hierzu. Ja, das würde funktionieren wenn ich den Port 22 nach draussen aufmachen will, das wär ja auch ez, aber gar nicht meine Frage. Ich will von draussen kommend zb. über den Port 43522 den SSH dienst erreichen.

Naja, ich Arbeite auch in der IT und seit 20 Jahren mit Linux systemen, bin sysengi und consultant. Daher hab ich die idee

So, um mir meine Frage jetzt selbst zu beantworten.

Man muss keinen internen forward setzen, weil man den SSH Port einfach in der Dropbear konfig ändern kann.

Dazu einfach das start script anpassen und den port in der firewall freigeben.

In /etc/init.d/dropbear Zeile 10 findet man

DROPBEAR_ARGS="$DROPBEAR_ARGS -R -b /etc/issue"

dort einfach den gewünschten port anhand der dropbear syntax einfügen

DROPBEAR_ARGS="$DROPBEAR_ARGS -p 1234 -R -b /etc/issue"

dann mit '/etc/init.d/dropbear restart' den dropbear dienst neu starten.

Noch eine kleine phylosophische Sache am Rande.
Ein offener SSH Port ist keine Sicherheitslücke, wenn die Admins dahinter wissen was sie tun. Ich kenne unzählige Systeme in wirklich großen Umgebungen die offene SSH Ports haben um verschiedenste Dienste zu erledigen wie Cluster Management, Monitoring, distributed computing, etc. etc.. Normalerweisse ist es auch kein Problem einen SSH Server so ein zu stellen das er sicher ist und es wäre für Unifi ein leichtes gewesen die Konfigurationsmöglichkeiten mit in das Frontend ein zu bauen mit allerhand spielereien wie einer ganz einfach bann konfig oder port knocking. Das sie es nicht getan haben, zeigt nur wie schlecht deren Techniker sind, oder wie wenig sie darauf vertrauen das ihr equipment tatsächlich von Experten verwendet wird. Die schon fast mobbingähnlichen Zustände die ich durch meine Frage hier gesehen habe, erklären mir aber leider das Verhalten von mittelklasse Netzwerkhardware herstellern.
Bildung hilft gegen Bandenbildung.