Re: IPTABLES: Per erfolgreichem SSH Login Ports öffnen

»Erhard Schwenk« <eschwenk@xxxxxx> wrote:
> Stefan Hertel wrote:
> > On Thu, 15 Dec 2005 14:34:30 +0100
> > Patrick Cervicek <patrick@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> wrote:
>
> >>Was stimmt mit OpenVPN nicht bzw. OpenSSH?
>
> > Beide sind meines Erachtens völlig Problemlos.
>
> Naja, mir erscheint bei OpenVPN die ganze Geschichte mit OpenSSL etwas
> zu bloatig und komplex. Schon weil Google auf "OpenSSL Certifikat HowTo"

OpenSSL certificate HowTo

Dann kommt auch was Sinnvolles.

> innerhalb der ersten 5 Links nichts brauchbares ausspuckt ("brauchbar"
> bedeutet, daß es meine EDV-Ahnungslose Mama mit etwas gutem Willen
> kapieren muß und daß man mit rudimentärem IT-KnowHow weniger als 5
> Minuten zum sinnentnehmenden Lesen aufzuwenden braucht!).
>
> OpenSSH für sich hatte in der Vergangenheit ab und an mal Lücken, die
> aber zügig gefixt wurden. Dafür ist es ein solides Arbeitstier, auf das
> man sich in der Regel gut verlassen kann. Und man kann sich recht
> schnell vernünftig einarbeiten - kein Vergleich übrigens mit OpenSSL.

Im OpenVPN-HOWTO steht drin, was man machen muss. So viel ist es nicht
wirklich.

> > Die Frage ist, welcher ist anfälliger bzw. besser getestet ...
>
> Naja, es handelt sich auch einfach um verschiedene Anwendungsgebiete.
> OpenSSH ist einfach, simpel und performant wenn man ne Remote Shell
> braucht oder ein paar TCP-Ports oder X11 forwarden will. OpenVPN wäre
> mir da zu lästig, ist aber für komplexere Probleme evtl. eine Wahl -
> wobei ich persönlich bisher tincd aufgrund des fehlenden Bloat-Faktors
> bevorzuge.

Das nutzt genauso OpenSSL. Also kein Unterschied vom Bloat her.

Wenn ich mich für genau eins der beiden entscheiden müsste, würde ich
jedoch eindeutig zu OpenSSH tendieren - einfach nur, weil es noch keinen
Usermode-Client für OpenVPN gibt, der dann z.B. einen lokalen
SOCKS-Proxy anbietet oder - besser und sicherer - sich ähnlich wie
tsocks verhält und transparent bestimmte Verbindungen über den Kanal
gehen lässt.

In der Routingtabelle rumzuspielen, ist IMHO ein zu tiefer Eingriff und
sollte optional sein - theoretisch kann man ja (unter gewissen
Einschränkung) das alles auch so machen.


--
Elfen Lied ist gewaltverherrlichend. Vor allem, was da so alles brutalst
niedergemetzelt, grausamst in Stücke gerissen und bei lebendigem Leibe
zerschnitten, zersägt, zerhackt wird... es wäre nicht übertrieben, zu
sagen: "Boldly splitting German composites that no man had split before"
.

Relevant Pages