Hallo Bernhard,
On Wed, Jun 23, 2010 at 09:33:36 +0200, Bernhard Schiffner wrote:
1.) sshd lauscht (wenn nicht anders konfiguriert) an allen Interfaces Port 22.
Klar.
2.) Wenn sshd Portforwarding uebernimmt, reicht er die an (irgendeinem Interface) Port 22 empfangenen und entschluesselten Pakete an Interface 127.0.0.1:Port (bei mir lo:9999) weiter. Dort koennen dann wieder andere Dienste lauschen.
Das Forwarding muss aber nicht zwingend nach 127.0.0.1 gehen, es kann auf eine beliebige vom sshd aus erreichbare, nicht lokale IP-Adresse gehen. In dem Fall werden die Pakete vom sshd nicht auf lo gesendet, sondern auf das Interface, ueber das die Route zu dieser IP-Adresse laeuft. (ip route get <IP-Adresse>)
Sogar wenn der Host 192.168.1.1 mit sich selber (auch 192.168.1.1) sprechen soll wird das, meiner Wissen nach, ueber ethX (vermutlich eth0) passieren.
Hier liegt Luca falsch. Sobald ein Paket an eine lokal erreichbare IP-Adresse geht (sprich: irgendein Interface hat diese Adresse), wird der Traffic ueber lo gesendet. Deswegen ist es z.B. auch unsinnig, sich selbst mit nmap zu scannen, um Firewallregeln fuer externen Traffic zu testen.
Gruss, Chris