Kein WEB-IF über STunnel

Tröste Dich mit dem Mod-UI und der Rudi-Shell. Damit kannst Du alles von der Kommandozeile machen, was Du willst.

Wenn Dir wirklich langweilig ist, kannst Du die Verbindung ja noch über einen Proxy auf einem PC im LAN oder auf der Box laufen lassen (arrrgh!). Aber bitte den dann selbst aufsetzen und so konfigurieren, daß webcm denkt, die Verbindung komme von innen.

Ich wundere mich nur, wie webcm feststellt, dass die Pakete von Außen kommen. Eigentlich kommen die ja von "Innen", nämlich über die virtuelle IP. Stunnel tunnelt die Pakete ja.
Aber ich vermute, dass webcm hier die TCP/IP Header prüft und das irgendwie erkennt. Aber das zu untersuchen überlasse ich jemand anderem

Du brauchst doch für stunnel aber eine Freigabe von Port 80, oder? Das ist der Unterschied zum SSH/Putty-Tunnel, da gibst du ja Port 22 frei...

MfG Oliver

olistudent schrieb:

Du brauchst doch für stunnel aber eine Freigabe von Port 80, oder? Das ist der Unterschied zum SSH/Putty-Tunnel, da gibst du ja Port 22 frei...

Zum Vergrößern anklicken....

Nein, nicht wirklich ! Stunnel kann auf jedem beliebigem Port nach Außen hin lauschen (bei HTTPS bietet sich halt 443 an) und leitet dann die Anfrage auf Port 80 einer beliebigen lokalen IP weiter. D.h. die Verbindung nach Außen hin ist verschlüsselt und innerhalb der Box ist das dann eine normale HTTP Verbindung.

Und den Source-Port kann webcm ja schlecht prüfen, weil der dynamisch festgelegt werden kann, der Dest-Port ist korrekterweise 80.

Also ich hab auf meiner Box nicht den Port 22 zum Zugriff auf SSH freigeben, sondern einen anderen. Der Zugriff auf die Web-Oberfläche (und andere lokale Dienste) per SSH Socks-Proxy (dynamische Port-Weiterleitung) funktioniert - unabhängig vom SSH Port - einwandfrei.

Die Methode über den SSH Socks Proxy würde ich übrigens der Stunnel-Methode vorziehen, weil sie deutlich sicherer und flexibler ist (Stichwort Benutzer Authentisierung/Authentifikation).

DPR schrieb:

Ich wundere mich nur, wie webcm feststellt, dass die Pakete von Außen kommen.
Aber ich vermute, dass webcm hier die TCP/IP Header prüft und das irgendwie erkennt.

Zum Vergrößern anklicken....

TCP/IP Header kommen bei einem Programm nicht an, das einzige, was man feststellen kann, ist die IP und Port der Gegenstelle.
An anderer Stelle wurde aber schon geschrieben, daß es funktionieren soll, wenn man den Referrer ausschaltet.
Irgendwo kam auch der Tip, einfach ein älteres webcm zu verwenden.
Ich habe es aber nicht überprüft.

Auf den Referrer hätte ich auch als nächstes getippt, allerdings gehen dann die Links im Menü auf Mod-UI und WoL nicht mehr, weil die den Referrer benutzen. Aber das ist zu verschmerzen, insbesondere weil die ja nicht durchgetunnelt sind.

Es gibt jede Menge Debugging-Werkzeuge in 15.1, z.B. strace, ltrace, gdb bzw. gdbserver, lsof, inotify-tools, tcpdump, mtr. Viel Erfolg beim Herausfinden der technischen Hintergründe. ;-)

Update: Es liegt tatsächlich am Header HTTP_REFERER. Wenn man ihn unterdrückt, klappt es mit dem HTTPS-Tunnel:

• Firefox: In Adreßzeile about:config eingeben, dann nach network.http.sendRefererHeader suchen, Wert auf 0 ändern (Standard ist 2), vgl. Abb. 1
• Opera: F12 und dann im Kontextmenü "Herkunft (Referer) übertragen" deaktivieren, vgl. Abb. 2
• Internet Explorer: Mir ist keine direkte Einstellung bekannt, um das direkt in IE zu unterdrücken, aber man kann das mit diversen lokalen Proxies à la Webwasher, Proxomitron und vermutlich mit Zusatzoptionen wie Anti-Werbe- und Anonymisierungs-Plugins oder Personal Firewalls mit Web-Optionen unterdrücken.

Happy browsing!

Für Firefox empfehle ich statt den Referrer komplett abzuschalten lieber ein Addon wie RefControl oder refspoof zu verwenden.

Damit kann man die Referrer-Regeln für einzelne Seiten einstellen.

Ja, ist viel besser. Wenn man halt mal irgendwo zu Besuch ist und das nicht hat, ist es wichtig zu wissen, wie man es kurzzeitig mal global loswerden kann ohne Plug-In.

DPR schrieb:

Für Firefox empfehle ich statt den Referrer komplett abzuschalten lieber ein Addon wie RefControl oder refspoof zu verwenden.

Zum Vergrößern anklicken....

Die beiden Addons sind nicht kompatibel zum neuen Firefox. Kennt jemand eine Alternative neben der Holzhammer-network.http.sendRefererHeader=0-Variante? Auf addons.mozilla.org habe ich auf die Schnelle nichts Passendes gefunden.