Page 1 of 15 12311 ... LastLast
Results 1 to 15 of 225

Thread: Remote ssh access

  1. 06-11-2007, 04:22 #1
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33

    Exclamation Remote ssh access

    Вопрос - нужно ли специально открывать порт 22 для ssh? Я пытаюсь с работы зайти на роутер по ssh и почему-то не получается. Я настроил DynDNS клиент в роутере но что-то request не доходит до роутера... Если же пытаюсь из дома это сделать то ssh работает нормально (с именем компа, зарегистрированного в DynDNS.

    спасиб
    gsnake
    Reply With Quote Reply With Quote
  2. 06-11-2007, 05:26 #2
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    да нужно, причем в post-firewall
    Reply With Quote Reply With Quote
  3. 06-11-2007, 12:24 #3
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by al37919 View Post
    да нужно, причем в post-firewall
    а что такое post-firewall и где это настраивается?
    Reply With Quote Reply With Quote
  4. 06-11-2007, 13:05 #4
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    1. FAQ
    2. В роутере используется файрвол iptables(netfilter). Руководство здесь
    3. Поиск по форуму даёт интересные результаты: 1 2 3
    4. Если в кратце:
      Code:
      mkdir -p /usr/local/sbin
cd /usr/local/sbin
echo '#!/bin/sh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
' >> post-firewall
chmod +x post-firewall
flashfs save && flashfs commit && flashfs enable
reboot
    Reply With Quote Reply With Quote
  5. 08-11-2007, 04:13 #5
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Mam(O)n View Post
    1. FAQ
    2. В роутере используется файрвол iptables(netfilter). Руководство здесь
    3. Поиск по форуму даёт интересные результаты: 1 2 3
    4. Если в кратце:
      Code:
      mkdir -p /usr/local/sbin
cd /usr/local/sbin
echo '#!/bin/sh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
' >> post-firewall
chmod +x post-firewall
flashfs save && flashfs commit && flashfs enable
reboot
    кстати это тоже не помогло. я правда настроил dropbear на нестандартном порту и соответственно поменял порт в post-firewall. то есть я с локальной сети нормально вхожу по ssh (на нестандартный порт) но с работы так и не получается..
    читаю форум но так толком ничего определенного не нашел. не хочется пробовать все подряд в надежде что получится.
    обратил внимание на эту комманду
    iptables -D INPUT -j DROP
    надо ли ее тоже обязательно вставлять в post-firewall?
    обязательно ли делать pre-routing?
    ptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1555 -j DNAT --to-destination 192.168.1.1:22
    Reply With Quote Reply With Quote
  6. 08-11-2007, 08:12 #6
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Нужна только единственная команда iptables -I INPUT -p tcp --dport 22 -j ACCEPT которая вставит в начало таблицы правило, которое разрешает все входящие пакеты на 22 tcp порт. Другое дело - может быть закрыт порт либо домашним провайдером, либо на работе.

    Ну я думаю еще можно показать результат выполнения команд iptables -L INPUT -vn и iptables -L -vnt nat для уверенности, что файрвол настроен правильно.
    Reply With Quote Reply With Quote
  7. 08-11-2007, 09:46 #7
    Dmitry
    Dmitry is offline Member
    Join Date
    Feb 2006
    Posts
    48
    Quote Originally Posted by gsnake View Post
    ...
    ptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1555 -j DNAT --to-destination 192.168.1.1:22
    А нельзя-ли добиться желаемого результата используя закладку виртуальный сервер в веб-интерфейсе? Входящие соединения на 1555 порт отправлять на 192.168.1.1:22
    Reply With Quote Reply With Quote
  8. 08-11-2007, 14:55 #8
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    В веб-интерфейсе делается похожее, окромя того, что в том примере перекидываются соединения только с vpn туннеля а в вебе будут перекидываться также соединения с MAN. Но это о5 же не избавляет от необходимости открывать локальный порт в файрволе.
    Reply With Quote Reply With Quote
  9. 08-11-2007, 15:10 #9
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Mam(O)n View Post
    Нужна только единственная команда iptables -I INPUT -p tcp --dport 22 -j ACCEPT которая вставит в начало таблицы правило, которое разрешает все входящие пакеты на 22 tcp порт. Другое дело - может быть закрыт порт либо домашним провайдером, либо на работе.

    Ну я думаю еще можно показать результат выполнения команд iptables -L INPUT -vn и iptables -L -vnt nat для уверенности, что файрвол настроен правильно.
    22 порт не закрыт ни на работе, ни у провайдера - проверено. Я же не на 22-ом слушаю, а на другом (скажем на 1555). То есть я в firewall открыл порт не 22, а 1555 вот так:
    iptables -I INPUT -p tcp --dport 1555 -j ACCEPT

    И соответственно dropbear работает на этом же порту (1555). Неужели надо 22 тоже открывать? Я позже напишу что эта команда выдает (iptables -L ...) когда домой доберусь..
    gsnake
    Reply With Quote Reply With Quote
  10. 08-11-2007, 15:56 #10
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Я 22 порт в качестве примера привел.
    Reply With Quote Reply With Quote
  11. 08-11-2007, 16:05 #11
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    где вывод iptables -L ?
    http://wl500g.info/showpost.php?p=68635&postcount=7
    Reply With Quote Reply With Quote
  12. 08-11-2007, 16:59 #12
    KRandall
    KRandall is offline Senior Member
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    156

    Lightbulb Dropbear

    Ну да, в post-firewall строка
    Code:
    iptables -A INPUT -p tcp --dport 1555 -j ACCEPT
    запуск dropbear
    Code:
    #!/bin/sh
killall dropbear
dropbear -p 1555 -d /usr/local/etc/dropbear/dropbear_dss_host_key -r /usr/local/etc/dropbear/dropbear_rsa_host_key
    и вот так все работает


    и вот еще
    Code:
    [I'm@Router /]$ iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1443 75004 ACCEPT     tcp  --  vlan1  *       0.0.0.0/0            10.131.4.163       tcp dpt:81 flags:0x16/0x02
 4161  409K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID
  50M   13G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
43697 2622K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          state NEW
 5482  726K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0          state NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.1        tcp dpt:80
  696 38181 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
  579 29256 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:21
    7   336 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:1555
    0     0 ACCEPT     icmp --  *      *       194.84.10.0/24       192.168.1.0/24     icmp type 8
    0     0 ACCEPT     icmp --  *      *       195.239.98.16/28     192.168.1.0/24     icmp type 8
    0     0 ACCEPT     icmp --  *      *       212.164.199.16/28    192.168.1.0/24     icmp type 8
    0     0 ACCEPT     icmp --  *      *       193.178.135.16/28    192.168.1.0/24     icmp type 8
    0     0 ACCEPT     udp  --  *      *       194.84.10.0/24       192.168.1.0/24     udp dpts:33434:33700
    0     0 ACCEPT     udp  --  *      *       195.239.98.16/28     192.168.1.0/24     udp dpts:33434:33700
    0     0 ACCEPT     udp  --  *      *       212.164.199.16/28    192.168.1.0/24     udp dpts:33434:33700
    0     0 ACCEPT     udp  --  *      *       193.178.135.16/28    192.168.1.0/24     udp dpts:33434:33700
    0     0 ACCEPT     tcp  --  *      *       194.84.10.0/24       192.168.1.0/24     tcp spt:200 dpts:1024:65535
    0     0 ACCEPT     tcp  --  *      *       195.239.98.16/28     192.168.1.0/24     tcp spt:200 dpts:1024:65535
    0     0 ACCEPT     tcp  --  *      *       212.164.199.16/28    192.168.1.0/24     tcp spt:200 dpts:1024:65535
    0     0 ACCEPT     tcp  --  *      *       193.178.135.16/28    192.168.1.0/24     tcp spt:200 dpts:1024:65535
 654K   76M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
[I'm@Router /]$ iptables -L -vnt nat
Chain PREROUTING (policy ACCEPT 2442K packets, 371M bytes)
 pkts bytes target     prot opt in     out     source               destination
 1620 81484 DNAT       tcp  --  *      *       0.0.0.0/0            10.131.4.163       tcp dpt:80 to:10.131.4.163:81
    0     0 DROP       tcp  --  vlan1  *       0.0.0.0/0            0.0.0.0/0          tcp dpt:81
 920K   75M VSERVER    all  --  *      *       0.0.0.0/0            10.131.4.163

Chain POSTROUTING (policy ACCEPT 698K packets, 44M bytes)
 pkts bytes target     prot opt in     out     source               destination
 938K   95M MASQUERADE  all  --  *      vlan1  !10.131.4.163         0.0.0.0/0
 9947  630K MASQUERADE  all  --  *      br0     192.168.0.0/22       192.168.0.0/22

Chain OUTPUT (policy ACCEPT 44341 packets, 2772K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:8082 to:192.168.1.1:80
55632 2743K DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:20658 to:192.168.1.68:20658
 3426  173K DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:4662 to:192.168.1.75:4662
 603K   39M DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:4672 to:192.168.1.75:4672
  173  8950 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:20659 to:192.168.1.75:20659
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:7523 to:192.168.1.68:7523
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:7524 to:192.168.1.68:7524
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:5190 to:192.168.1.68:5190
  872 41856 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:3306 to:192.168.1.68:3306
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:3306 to:192.168.1.68:3306
    WL-500gP(v1, 64mb) (1.9.2.7-d-r2624 by Oleg) + 3 x USB HDD
    Работают: analog, syslog-ng, cron, samba 3, RTorrent+RuTorrent, lighttpd, vsftpd+, настроена сеть и сетевая печать
    Reply With Quote Reply With Quote
  13. 08-11-2007, 18:00 #13
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by KRandall View Post
    Ну да, в post-firewall строка
    Code:
    iptables -A INPUT -p tcp --dport 1555 -j ACCEPT
    Не стоит путать людей. Если использовать -A то это добавит правило в конец цепочки INPUT, в которой в конце по-умолчанию у всех прописано правило DROP, что неприемлемо в данном случае. Нужно использовать -I, что добавит правило в начало цепочки и что будет самое простое в реализации.

    Если уж очень охота (в целях оптимизации) добавить правило в конец цепочки (-A) тогда:
    Code:
    # Устанавливаем действие по-умолчанию(DROP или ACCEPT), которое будет выполнено при достижении конца цепочки. По-дефолту стоит ACCEPT.
iptables -P INPUT DROP
# Удаляем последнее правило в цепочке, которое дропает пакеты.
iptables -D INPUT -j DROP
# Добавляем в конец цепочки правило, разрешающее входящие tcp пакеты на 1555 порт
iptables -A INPUT -p tcp --dport 1555 -j ACCEPT
    Reply With Quote Reply With Quote
  14. 09-11-2007, 03:02 #14
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    вот что получается при выполнении команд
    Code:
    $ iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID
 187K   17M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED, ESTABLISHED
16687 1001K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          state NEW
96672   35M ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0          state NEW
 4537 1650K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp spt:67 dpt:68
  245  139K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0


root]$ iptables -L -vnt nat
Chain PREROUTING (policy ACCEPT 14153 packets, 1462K bytes)
 pkts bytes target     prot opt in     out     source               destination
  251  139K VSERVER    all  --  *      *       0.0.0.0/0            xx.xx.x.36
    0     0 NETMAP     udp  --  *      *       0.0.0.0/0            xx.xx.x.36        udp spt:6112
192.168.1.0/24

Chain POSTROUTING (policy ACCEPT 17490 packets, 1051K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 NETMAP     udp  --  *      *       192.168.1.0/24       0.0.0.0/0          udp dpt:6112
xx.xx.x.36/32
 8553  446K MASQUERADE  all  --  *      vlan1  !xx.xx.x.36          0.0.0.0/0
   59 18726 MASQUERADE  all  --  *      br0     192.168.1.0/24       192.168.1.0/24

Chain OUTPUT (policy ACCEPT 17549 packets, 1070K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:6881 to:192.168.1.196:6881
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:6881 to:192.168.1.196:6881
    что-то явно не то с firewall.. eще раз - вот что у меня в post-firewall
    iptables -I INPUT -p tcp --dport xxxx -j ACCEPT

    где хххх - номер порта
    Last edited by Mam(O)n; 09-11-2007 at 04:46. Reason: не забываем про теги [code][/code]
    Reply With Quote Reply With Quote
  15. 09-11-2007, 04:45 #15
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Если бы было сделано, как я написал, то в post-firewall было бы:
    Code:
    #!/bin/sh
iptables -I INPUT -p tcp --dport xxxx -j ACCEPT
    где xxxx - номер порта. Или это в конец пост-файрвола добавилось бы. Главное, чтоб первая строчка - #!/bin/sh. Вывод iptables -L INPUT -vn был бы таким:
    Code:
    $ iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3061  291K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:xxxx 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID
 187K   17M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED, ESTABLISHED
16687 1001K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          state NEW
96672   35M ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0          state NEW
 4537 1650K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp spt:67 dpt:68
  245  139K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
    где xxxx - номер порта. Надеюсь post-firewall не в венде(допустим в блокноте) правил?

    На данном этапе интересны выводы команд:
    cat /usr/local/sbin/post-firewall
    ls -la /usr/local/sbin/
    Reply With Quote Reply With Quote
Page 1 of 15 12311 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Enable Web Access from WAN? YES-NO. Работает ли защита?
    By michaelV in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 38
    Last Post: 08-10-2013, 04:55
  2. Проблемы с RAdmin и Remote Desktop
    By dmitrych in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 184
    Last Post: 13-04-2013, 16:44
  3. [HowTo]Aria2 Torrent, FTP, HTTP mit Remote Control
    By newbiefan in forum German Discussion - Deutsch (DE)
    Replies: 3
    Last Post: 08-01-2012, 19:15
  4. Can't access my firmware
    By juvealerts in forum WL-500g Q&A
    Replies: 1
    Last Post: 10-11-2008, 16:11
  5. Access to NAS in LAN from WAN
    By Hexabyte in forum WL-500g Custom Development
    Replies: 1
    Last Post: 01-04-2008, 06:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules