
<div dir="ltr"><div><div><div><div><div><div><div>I think we need to reset here for a minute...<br><br></div>Is your goal to connect to a machine with a IP on a private range where there exists a gateway machine or router with a (known) public IP?<br>

</div>In that case the solution is very simple: port-forwarding<br></div>However I would not do that without also running fail2ban and maybe also fwknop so that evil SSH traffic would have a harder time at getting at my server.<br>

<br></div>Or is your goal to connect to a machine reachable via a dynamic IP and you have a machine with a fixed IP that you can route via?<br></div>In that case solutions are more complex, most of the solutions above related to that scenario I think.<br>

<br></div>So please clear up for us what your exact goal is.<br></div>Regards,<br>Eliyahu - אליהו<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-07-20 18:46 GMT+03:00 Erez D <span dir="ltr"><<a href="mailto:erez0001@gmail.com" target="_blank">erez0001@gmail.com</a>></span>:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Sun, Jul 20, 2014 at 3:36 PM, E.S. Rosenberg <<a href="mailto:esr@g.jct.ac.il">esr@g.jct.ac.il</a>> wrote:<br>


> You can have something running on the machine you want to SSH to that<br>

> updates the machine with a fixed IP what its' IP is and have a firewall rule<br>

> or some other way to redirect specific traffic like for instance traffic to<br>

> TCP:22222 from that machine to the IP that it was updated to be....<br>

><br>

</div>still do not understand what you mean, and how it will let me connect<br>

to a machine with a private ip<br>

<div class="HOEnZb"><div class="h5">><br>

> 2014-07-20 14:33 GMT+03:00 Erez D <<a href="mailto:erez0001@gmail.com">erez0001@gmail.com</a>>:<br>

><br>

>> On Sun, Jul 20, 2014 at 1:30 PM, Yedidyah Bar David<br>

>> <<a href="mailto:linux-il@didi.bardavid.org">linux-il@didi.bardavid.org</a>> wrote:<br>

>> > If you just want an ssh connection you can simply redirect connection<br>

>> > attempts to some port on the<br>

>> > Internet-accessible machine to port 22 on the private-ip one - using<br>

>> > whatever tool that fits you best -<br>

>> > iptables, xinetd, redir, probably many others.<br>

>> > --<br>

>> > Didi<br>

>><br>

>> i do not understand what do you mean<br>

>> ><br>

>> ><br>

>> > 2014-07-20 13:31 GMT+03:00 Erez D <<a href="mailto:erez0001@gmail.com">erez0001@gmail.com</a>>:<br>

>> >><br>

>> >> looks a little complicated - extra ssh server, firewall with port<br>

>> >> knocking<br>

>> >> all this for a ssh connection ...<br>

>> >><br>

>> >> On Sun, Jul 20, 2014 at 11:38 AM, Rabin Yasharzadehe <<a href="mailto:rabin@rabin.io">rabin@rabin.io</a>><br>

>> >> wrote:<br>

>> >> > you can add a port-knocking tool like fwknop to add a dynamic rule to<br>

>> >> > forward your connection into the privet machine.<br>

>> >> ><br>

>> >> > --<br>

>> >> > Rabin<br>

>> >> ><br>

>> >> ><br>

>> >> > On Sun, Jul 20, 2014 at 12:16 PM, Erez D <<a href="mailto:erez0001@gmail.com">erez0001@gmail.com</a>> wrote:<br>

>> >> >><br>

>> >> >> On Sun, Jul 20, 2014 at 11:06 AM, Lior Kaplan <<a href="mailto:kaplanlior@gmail.com">kaplanlior@gmail.com</a>><br>

>> >> >> wrote:<br>

>> >> >> > Didn't check it, but login in with a user who has /bin/true might<br>

>> >> >> > do<br>

>> >> >> > the<br>

>> >> >> > trick.<br>

>> >> >> you are correct, it works.<br>

>> >> >> however it is still a security risk, as this means the client may<br>

>> >> >> listen on unused port ...<br>

>> >> >><br>

>> >> >> ><br>

>> >> >> > Kaplan<br>

>> >> >> ><br>

>> >> >> ><br>

>> >> >> > On Sun, Jul 20, 2014 at 12:03 PM, Erez D <<a href="mailto:erez0001@gmail.com">erez0001@gmail.com</a>><br>

>> >> >> > wrote:<br>

>> >> >> >><br>

>> >> >> >> On Sun, Jul 20, 2014 at 10:39 AM, Lior Kaplan<br>

>> >> >> >> <<a href="mailto:kaplanlior@gmail.com">kaplanlior@gmail.com</a>><br>

>> >> >> >> wrote:<br>

>> >> >> >> > ssh itself ?<br>

>> >> >> >> ><br>

>> >> >> >> > <a href="http://www.thegeekstuff.com/2013/11/reverse-ssh-tunnel/" target="_blank">http://www.thegeekstuff.com/2013/11/reverse-ssh-tunnel/</a><br>

>> >> >> >> nice, however this requires me to give access to my server, which<br>

>> >> >> >> i<br>

>> >> >> >> do<br>

>> >> >> >> not want ...<br>

>> >> >> >> (or, can i give people permission to ssh to my server only for<br>

>> >> >> >> reverse<br>

>> >> >> >> tunnels and no shell ?)<br>

>> >> >> >><br>

>> >> >> >> ><br>

>> >> >> >> > Kaplan<br>

>> >> >> >> ><br>

>> >> >> >> ><br>

>> >> >> >> > On Sun, Jul 20, 2014 at 11:36 AM, Erez D <<a href="mailto:erez0001@gmail.com">erez0001@gmail.com</a>><br>

>> >> >> >> > wrote:<br>

>> >> >> >> >><br>

>> >> >> >> >> hello<br>

>> >> >> >> >><br>

>> >> >> >> >> i have a linux machine with a private ip connected to the<br>

>> >> >> >> >> internet<br>

>> >> >> >> >> i have a public ip and need to ssh to the linux box<br>

>> >> >> >> >><br>

>> >> >> >> >> any tools for that ?<br>

>> >> >> >> >><br>

>> >> >> >> >> _______________________________________________<br>

>> >> >> >> >> Linux-il mailing list<br>

>> >> >> >> >> <a href="mailto:Linux-il@cs.huji.ac.il">Linux-il@cs.huji.ac.il</a><br>

>> >> >> >> >> <a href="http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il" target="_blank">http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il</a><br>

>> >> >> >> ><br>

>> >> >> >> ><br>

>> >> >> ><br>

>> >> >> ><br>

>> >> >><br>

>> >> >> _______________________________________________<br>

>> >> >> Linux-il mailing list<br>

>> >> >> <a href="mailto:Linux-il@cs.huji.ac.il">Linux-il@cs.huji.ac.il</a><br>

>> >> >> <a href="http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il" target="_blank">http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il</a><br>

>> >> ><br>

>> >> ><br>

>> >><br>

>> >> _______________________________________________<br>

>> >> Linux-il mailing list<br>

>> >> <a href="mailto:Linux-il@cs.huji.ac.il">Linux-il@cs.huji.ac.il</a><br>

>> >> <a href="http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il" target="_blank">http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il</a><br>

>> ><br>

>> ><br>

>><br>

>> _______________________________________________<br>

>> Linux-il mailing list<br>

>> <a href="mailto:Linux-il@cs.huji.ac.il">Linux-il@cs.huji.ac.il</a><br>

>> <a href="http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il" target="_blank">http://mailman.cs.huji.ac.il/mailman/listinfo/linux-il</a><br>

><br>

><br>

</div></div></blockquote></div><br></div>