Professional Documents
Culture Documents
Konfiguration
Das Tunneln von SAMBA- / CIFS- oder SMB-Verbindungen über SSH ist ganz
einfach.
Dazu wird im SSH-Client (hier: puTTY) eine entsprechende Weiterleitung
eingerichtet.
Das Windows-Protokoll zum Zugriff auf Freigaben nutzt den Port 139.
Damit reicht es, diesen Port vom lokalen Rechner (Source port) über den SSH-
Client an den Zielrechner (Destination) weiterzuleiten.
Wenn man jetzt eine SSH-Verbindung aufbaut, kann man direkt auf die Freigaben
des Zielrechners zugreifen.
Fertig.
Einschränkung
Das Problem dabei ist, dass man dabei die Verbindung zu Freigaben ohne SSH
verliert. Denn es werden ja alle Anfragen die über Port 139 laufen, jetzt in den
SSH-Tunnel geleitet.
Man kann also nicht gleichzeitig auf eine Freigabe zugreifen, die über SSH
getunnelt ist, als auch auf eine Freigabe ohne SSH z.Bsp. im lokalen Netzwerk.
Man sieht nur noch die Freigaben des Zielrechners.
Blöd.
Das Problem liegt darin begründet, dass Windows (im Regelfall) nur eine einzige
Netzwerkkarte hat, über die die Kommunikation mit den anderen System läuft.
Wenn man also eine Anfrage (egal wohin) an ein System macht, läuft es immer
über diese eine Netzwerkkarte. Und dort gibt es den Port 139 halt auch nur
einmal.
Lösung
Um das zu umgehen, also die Freigaben auf Rechner mit und ohne SSH-
Verbindung gleichzeitig zu gestatten, gibt es einen einfachen Trick: Man richtet
sich (mindestens) eine weitere (virtuelle) Netzwerkkarte ein.
Jetzt kann unterschieden werden zwischen den Freigaben, die über die
Netzwerkkarte A erreicht werden und solchen, die über die Netzwerkkarte B
erreicht werden.
Abhängig davon, werden Anfragen der Netzwerkkarte A über Port 139 über SSH
getunnelt, oder bei Netzwerkkarte B eben nicht.
Das bedeutet auch, dass man für jede SSH-Verbindung, zu der gleichzeitig eine
SMB-Verbindung aufgebaut werden soll, eine virtuelle Netzwerkkarte einrichten
muss.
Vorgehensweise
Die folgende Beschreibung wurde nachträglich deutlich gekürzt. Wer nicht weiss,
wie er die Einstellungen seiner Netzwerkkarte anpasst, ist nicht der richtige
Kandidat für dieses Experiment. Man kann bei allem was getan wird, kaum etwas
kaputt machen.
Bis auf die Angabe der IP-Adresse bei „Source Port“ ist die Konfiguration identisch
zu dem, was man früher gemacht hat. Nachvollziehbar, denn das einzige was
jetzt anders ist, ist die Einschränkung auf eine bestimmte Netzwerkkarte. Nur
dessen Port 129 wird nun weitergeleitet.
4. Test
Quelle: http://www.blisstonia.com/eolson/notes/smboverssh.php