PDA

Bekijk de volledige versie : SSH vom WAN Interface nicht möglich



pc-nico
27-05-2008, 17:01
Hallo Leute,

der Einsteiger hat mal wieder eine Frage....

Ich habe im WebInterface PING freigegeben... funktioniert auch von außerhalb...
Nun wollte ich Port 22 Freigaben um SSH Zugriff aus dem Internet zu erhalten...

Ich habe dazu im WebIF unter WAN to LAN Filter eine Regel erstellt



Source IP Port Range Destination IP Port Range Protocol
22 localRouterIP 22 TCP



Leider ist der Port vom Internet aus nicht erreichbar... habe ich etwas vergessen/falsch gemacht...?

legolas
27-05-2008, 22:06
Hi,

hängt der Asus-Router an einem DSL-Modem oder an einem anderen Router wie der Fritzbox? Dann musst Du die Freischaltung des Ports für SSH nämlich auf der Fritzbox vornehmen.

Norbert

pc-nico
28-05-2008, 09:01
mein WL hängt an einem KabelTV Modem, das alle Ports weiterleitet...
Wenn ich die Firewall im WebIF ausschalte komme ich von außen drauf...

Liegt als an der Konfiguration vom WL-500g.... :(

wengi
28-05-2008, 11:03
Suche benutzen:
"ssh internet"

2 Minuten später landet man hier: http://wl500g.info/showpost.php?p=67110&postcount=2

Wenn man englisch versteht.... :rolleyes:

wengi

pc-nico
28-05-2008, 11:07
jaja das Englich *g*

danke für den Hinweis... bin nicht so der iptables freaks... kann man das auch
übers WebIF machen? (bekomme das auch über Konsole hin, nur für die Faulheit.... :-P)

wengi
28-05-2008, 12:38
Weiss ich nicht und jetz will ich nicht mehr suchen. Meine Faulheit :p

wengi

wary
28-05-2008, 15:30
Destination-IP MUSS die im lokalen netz sein (z.B. 192.168.1.1) nicht localhost oder 127.0.0.1, dann sollte das laufen!
Bei mir geht es jedenfalls!

pc-nico
28-05-2008, 15:37
Die DEST IP war in meiner Konfiguration die 192er... :-(

Bei Source braucht doch nichts stehen oder? Weil die Quelle kann ja jede IP sein...

pc-nico
28-05-2008, 16:06
so jetzt wo ich vor der Box sitze habe ich mal etwas probiert...

Prinzipell ist es doch so, das der SSH-Deamon auf allen Netzwerkinterfacen
laucht.. also auch auf dem WAN Interface... also brauchen doch gar keine
Paket vom WAN zum LAN Interface weitergeleitet werden... (was ja auch schon
meine Versuch mit deaktivierter Firewall gezeigt hat, dann konnte man nämlich
auf SSH über WAN zugreifen, aber eben auch auf alle anderen Ports....)

Vielmehr muss doch nur der Port 22 in der Firewall geöffnet werden...
Leider kann man über das WebInterface keine Freigabe von Ports in der Firewall
konfigurieren... Also habe ich das mal auf der Konsole mit

iptables -I INPUT -m tcp -p tcp --dport 22 -j ACCEPT

getan. Und siehe da ein Online Port Scanner zeigt mir nun Port 22 als offen...
Danach die Zeile nur noch in die post-firewall, alles sichern und schon geht es...

(Leider gehts bei mir nicht, weil meine Post-Firewall irgendwie nicht automatisch abgearbeitet wird....von Hand nach dem Boot ausführen geht...
muss ich wohl noch etwas gucken ;-) )

vllt Hilft dieser Post ja anderen Usern mal weiter oder wengi nimmt ihn in sein HowTo (wirklich super Teil) auf.....

WLAN-Fan
29-05-2008, 11:12
meine Versuch mit deaktivierter Firewall
Welche meinst du? Wo hast du da was eingestellt?

getan. Und siehe da ein Online Port Scanner zeigt mir nun Port 22 als offen...
Welcher Port-Scanner?

Gruß.

pc-nico
29-05-2008, 11:44
Welche meinst du? Wo hast du da was eingestellt?



Ich meine die Firewall im WebIF... die hatte ich ausgestellt und auch noch nichts
mit IPTABLES auf der Konsole gemacht... dann ging der Zugriff (PortScan) von außen....
dadurch bin ich auf die Idee gekommen, das da nichts mit NAT gemacht werden
muss, sondern nur der Port 22 von außen durchgelassen werden muss.....



Welcher Port-Scanner?

Gruß.
Ich habe diese Verwendet um sicher zu gehen, das auch wirklich von außen die IP gescannt wird...
http://www.t1shopper.com/tools/port-scanner/
http://portscan.winboard.org/


Allerdings habe ich nun das Problem das meine Post-Firewall nicht ausgeführt
wird beim booten.... führe ich sie handich nach dem Booten aus, geht alles wie es soll.....

WLAN-Fan
29-05-2008, 12:23
Allerdings habe ich nun das Problem das meine Post-Firewall nicht ausgeführt
wird beim booten.... führe ich sie handich nach dem Booten aus, geht alles wie es soll.....
Schreib mal etwas mehr daszu bitte.

Gruß.

pc-nico
29-05-2008, 12:31
wie ich oben schon geschrieben habe... nach dem booten komme ich von außen nicht auf den Router...

bei einem iptables -L werden mir die Regeln aus der Post-firewall auch nicht
angezeigt....

logge ich mich dann ein und führe die post-firewall aus (/usr/local/post-firewall)
werden die Befehle abgearbeitet und die Regeln danach auch angezeigt....

es sieht also so aus, als ob das Script beim Booten einfach nicht ausgeführt wird... hoffe das ist so verständlich....

WLAN-Fan
29-05-2008, 13:13
bei einem iptables -L werden mir die Regeln aus der Post-firewall auch nicht angezeigt ...
Was wird angezeigt?

logge ich mich dann ein und führe die post-firewall aus (/usr/local/post-firewall)
werden die Befehle abgearbeitet und die Regeln danach auch angezeigt....

es sieht also so aus, als ob das Script beim Booten einfach nicht ausgeführt wird... hoffe das ist so verständlich....
Wie sieht den dein Script aus?

Was steht in der post-firewall bei dir drin?

Gruß.

pc-nico
29-05-2008, 13:22
was genau angezeigt wird, kann ich jetzt nicht sagen, habe gerade keinen zugriff auf die Box....

in meinem Script steht folgendes:

iptables -I INPUT -m tcp -p tcp --dport 22 -j ACCEPT

wengi
29-05-2008, 13:46
WLAN-Fan läuft heute wieder zu Höchstform auf.
Hinter mehr als 50% der Sätze steht ein Fragezeichen... :D

wengi

pc-nico
29-05-2008, 13:55
hihi.... ich würd auch gern ein paar mehr Details preis geben, aber da die post-firewall nicht verarbeitet wird, habe ich mich gerade selbst ausgesperrt
(bin nicht zuhause) als ich vorhin etwas geändert habe und rebootet habe :-)

Was mir noch einfällt, ist die Zeile
#/bin/bash
bei den post-scripten zwingend erforderlich? Die fehlt nämlich in der post-firewall noch....

wengi
29-05-2008, 14:21
Die sollte da sein. Damit definierst Du womit das aktuelle script ausgeführt wird.

Du kannst ja auch mal eine Zeile wie
logger "**********"einfügen.

Wenn Du im Systemlog dann eine Zeile mit diesen Sternen findest wurde das Script abgearbeitet.

wengi

pc-nico
29-05-2008, 19:45
so damit diese Thema auch mal ein Ende nimmt ;-)

Es muss tatsächlich am Anfang der post-firewall die Shell definiert werden:

#!/bin/sh

Diese beiden Varianten gehen:

Variante 1:


#!/bin/sh
iptables -I INPUT -m tcp -p tcp --dport 22 -j ACCEPT


Hier wird mittels iptables eine neue Regel eingefügt und zwar ganz oben in der Liste (Parameter -I)

Variante 2:


iptables -D INPUT -j DROP
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j DROP
Hier wird die "Alles verwerfen regel erstmal gelöscht, dann die "Port 22 erlauben" Regel eingefügt und dann wieder die "Alles andere Verwerfen" Regel erzeugt.
(Habe ich hier (http://wl500g.info/showpost.php?p=62453&postcount=4) gefunden...

Beide Varianten gehen. Der Zugriff von außen auf SSHD ist damit möglich.
Danke für die interessierte Diskussion. @Wengi: ich finde das sollte unbedingt
mit ins HowTo z.B. als SSHoverWAN oder Ports füs Wan freischalten...
Denke dass ich nicht der einzige bin, der diese Problem hat und nicht jeder
ist ein IPTALBES Freak (ich auch nicht :-) )