On Fri, June 3, 2011 09:27, Luca Bertoncello wrote:

Konrad Rosenbaum konrad@silmor.de schrieb:

...

Warum? Was ist so schlimm daran dass der SSH-Client sich irgendeine passende Adresse nimmt?

Ganz einfach: ich habe mehrere IPv6 Adressen vergeben, einige davon haben ein Reverse mit lucabert.de, andere mit anderen Domains, die ich verwalte.

Fuerchtest Du um Dein Image wenn mal eine SSH-Verbindung mit dem falschen Absender passiert? ;-)

Und ich möchte gern, daß die ausgehenden IPv6-Verbindungen von meinem Server von eine IPv6-Adresse generiert werden, die ein Reverse mit irgendwas .lucabert.de hat.

Dazu ein paar Anmerkungen:

Du wirst das Problem nicht loesen koennen, ausser mit -b.

Man sollte keine SSH-Huepfer machen (keine Zwischenstationen zwischen erstem SSH-Client und letztem SSH-Server). Wenn auch nur eine Station zwischen Dir und dem Ziel kompromittiert ist, dann ist die ganze Kette im Eimer. Die meisten Kompromittierungen von grossen Projektseiten haben immer irgendwo in der Analyse "jemand hat sich ueber ein kompromittiertes System eingeloggt und damit sein Passwort preisgegeben". Der Nebensatz "wir haben dem verdammten Bastard gehoerig die Leviten gelesen!" wird meist diplomatisch weggelassen, bevor es an die Presse geht... ;-)

Auf einem (V)Server wuerde ich keine ausgehenden Verbindungen zulassen. Oder nur ganz ganz wenige, die aber eine verdammt gute Begruendung und ein spezifisches Ziel brauchen. So eine Firewallregel kann eine Menge Aerger sparen.

IPv6 waehlt Absenderadressen nach einem bestimmten Algorithmus aus:

0) Wenn die Socket bereits gebunden ist, dann bleibt das so. (ssh -b)

1) Alle temporaeren Adressen, die bereits abgelaufen sind werden verworfen.

2) Fuer eine gegebene Zieladresse wird diese neben jede lokale potentielle Absenderadresse gelegt und gezaehlt wieviele Bits von links uebereinstimmen bis das erste Bit abweicht (longest matching prefix).

3) Die Adressen mit den meisten Bits werden dann in die engere Auswahl genommen. Wenn es nur einen Kandidaten gibt wird er genommen.

4) Gibt es mehrere Kandidaten werden diese nach Prioritaet sortiert. Wie Prioritaeten automatisch berechnet oder haendisch gesetzt werden ist kompliziert und unterscheidet sich von einem System zum naechsten und kann sich auch in der naechsten Kernelversion unterscheiden. In die automatische Berechnung gehen unter anderem ein wann und wie die Adresse zugewiesen wurde, ob der DHCP oder SLAAC Server eine Prioritaet mitgegeben hat, ob sie temporaer ist, etc.pp.

5) Von den Adressen mit der hoechsten Prioritaet wird eine zufaellig oder auch unzufaellig genommen.

Konrad