Secure Shell

Eigenheiten ausgehender Verbindungen

Etwas komplexer ist die Konfiguration ausgehender Verbindungen:

Analog zu den eingehenden Verbindungen wird hier ein lokaler Listener (also auf der Seite des SSH-Clients) auf einem bestimmten Port eingerichtet. Er wird aktiv (also auch mit


netstat

sichtbar), sobald der SSH-Tunnel aufgebaut ist.
TCP-Verbindungen zu diesem lokalen Port werden dann auf den konfigurierten Zielport der Zielhosts weitergeleitet. Genauer gesagt, wird diese Verbindung durch der SSH-Tunnel zum SSH-Server geleitet, der sie wiederum unverschlüsselt zum Zielhost weiterführt.

Konfiguration ausgehender Port

Diese Richtung der Port-Weiterleitung kennt noch zwei interessante Optionen:

Per Default ist "Nur lokale Verbindungen zulassen" eingestellt; dh. dass der SSH-Client nur TCP-Verbindungen weiterleitet, die von Applikationen auf derselben Maschine ausgehen.
Schaltet man diese Option aus, so kann der Listener "Abhörender Port" auch von anderen Maschinen über das Netzwerk angesprochen werden. Man beachte dabei wiederum die u.U. negativen Implikationen für die Sicherheit.

"Dynamisch Port-Weiterleitung" ist ein neueres Feature der SSH-Architektur und erlaubt, Zielhost und Zielport erst im laufenden Betrieb (also "dynamisch") zu bestimmen.
.