Angabe des Remote-Hosts in ar7.cfg forwardrules?

[stefan--]

Hallo, erstmal ein fettes Danke und Daumen hoch an die Leute hier, die die Mods bereitstellen!

Konkret habe ich auf meiner 7170 über Pseudo-Update WOL und WOC installiert, um einen Rechner im LAN über einen Anruf von meinem Handy aus aufzuwecken. Funktioniert auch alles super - auch die Einschränkung, dass es meine Handy-Nummer sein muss.

Der Usecase ist, dass ich auf den Rechner per RDP zugreifen will. Den entsprechenden Port 3389 habe ich übers WEB-Interface freigegeben. In der ar7.cfg wurde dadurch in der Sektion forwardrules folgender Eintrag vorgenommen:

“tcp 0.0.0.0:3389 1.2.3.4:3389"

Dadurch wird allerdings JEDE Remote-Adresse auf diesen Port weitergeleitet. Kann ich die Remote-Adresse durch folgende Angabe einschränken?

“tcp 4.3.2.1:3389 1.2.3.4:3389"

Oder geht das so nicht?

 

[stefan--]

multid ar7.cfg zur Laufzeit neu einlesen?

Nun, da es hier auch keiner zu wissen scheint, wollte ich es gestern Abend mal selbst ausprobieren. Dazu wollte ich auf der linken Seite meine eigene (dynamisch zugewiesene) IP eintragen und per externem DNS-Eintrag (bei noip) zu mir selbst verbinden (mit WinXP Remotdesktopverbindung).
Leider konnte ich den Test nicht zu Ende bringen, da ich multid nicht dazu bewegen konnte die ar7.cfg zur Laufzeit neu einzulesen (kill -HUP). Auch stoppen (mit /sbin/multid -s) und anschließendes Neustarten half nichst. Die Änderungen scheinen erst nach einem Reboot der Box zu ziehen - und danach hat sich meine IP natürlich geändert...

Weiß jemand wie ich multid dazu bewegen kann die geänderte ar7.cfg neu einzulesen?

 

[olistudent]

Ich bin mir nicht sicher ob der multid für die Forwardrules zuständig ist. Ich würde eher auf den dsld tippen. Versuchs mal mit "ar7cfgchanged".

MfG Oliver

 

[stefan--]

Ich bin mir nicht sicher ob der multid für die Forwardrules zuständig ist. Ich würde eher auf den dsld tippen. Versuchs mal mit "ar7cfgchanged".

MfG Oliver

Also ar7cfgchanged führt leider auch dazu, dass die Verbindung neu aufgebaut wird, also andere IP... muss ich mir wohl für den Test einen anderen Weg einfallen lassen.

 

[olistudent]

Du musst irgendein Signal an den dsld senden. Das wird mit dem Befehl "kill" gemacht. Ich kann dir aber nicht sagen wie das funktioniert. Da musst du dich mal schlau machen. (SIGHUP?)

MfG Oliver

 

[stefan--]

Hallo Oliver,

danke nochmal für Deine Hilfe. kill -HUP auf den dsld brachte den gewünschten Effekt. Leider funktioniert es aber doch nicht so, wie erwartet. Wenn ich auf der linken Seiten nun eine IP-Adresse angebe, bekomme ich keine Verbindung mehr...

...aber vermutlich ist es eh besser RDP durch SSH zu tunneln. Irgendwo habe ich (wenn ich mich recht erinnere) gelesen, dass der Schüssel, mit dem M$ RDP verschlüsselt, in Windoof hart kodiert ist... somit kann man also wunderbar die Kommunikation mitschneiden und dann mit dem in Windoof integrierten Schlüssel Benutzerasswort entschlüsseln.

Da hätte die Einschränkung der Remote-Adresse allerdings schon etwas gebracht. Man kann so zwar die Kommunikation belauschen, aber einloggen geht trotzdem nicht, da ja außer der angegebenen IPs keiner auf den Port 3389 kommt.

Vielleicht hat ja noch jemand einen Tipp, wie man die Remote-Adresse einschränken kann? Auf der Box, versteht sich - obwohl... hmmm, naja ich könnte natürlich auch noch eine entsprechende Firewall-Regel auf dem eigentlichen Ziel-Rechner im Intranet einrichten... (uuups, war laut gedacht).

Grüße
Stefan