Page 2 of 15 FirstFirst 123412 ... LastLast
Results 16 to 30 of 225

Thread: Remote ssh access

  1. 09-11-2007, 09:38 #16
    BORODA(C)
    BORODA(C) is offline Senior Member
    Join Date
    Jan 2007
    Posts
    136
    Quote Originally Posted by Mam(O)n View Post
    Надеюсь post-firewall не в венде(допустим в блокноте) правил?

    А что, от 0D0A у Юникса крыша поедет?
    Reply With Quote Reply With Quote
  2. 09-11-2007, 09:53 #17
    Dmitry
    Dmitry is offline Member
    Join Date
    Feb 2006
    Posts
    48
    Quote Originally Posted by BORODA(C) View Post
    А что, от 0D0A у Юникса крыша поедет?
    Именно так и происходит.
    Он читает первую строку в скрипте в качестве интерпретатора, и не находит /bin/sh<0D>
    Reply With Quote Reply With Quote
  3. 09-11-2007, 10:18 #18
    BORODA(C)
    BORODA(C) is offline Senior Member
    Join Date
    Jan 2007
    Posts
    136
    Quote Originally Posted by Dmitry View Post
    Именно так и происходит.
    Он читает первую строку в скрипте в качестве интерпретатора, и не находит /bin/sh<0D>
    Oleg,
    может тогда в код sh (хотя я думаю, что это fopen() в libc) ввести поправку на конец строки 0D or 0D0A? Ведь не все на виндах FAR`ом пользуются.
    Reply With Quote Reply With Quote
  4. 09-11-2007, 10:36 #19
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by BORODA(C) View Post
    Oleg,
    может тогда в код sh (хотя я думаю, что это fopen() в libc) ввести поправку на конец строки 0D or 0D0A? Ведь не все на виндах FAR`ом пользуются.
    О как... А может все-таки проще FAR установить чем линукс патчить?
    Reply With Quote Reply With Quote
  5. 09-11-2007, 13:37 #20
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Mam(O)n View Post
    Если бы было сделано, как я написал, то в post-firewall было бы:
    Code:
    #!/bin/sh
iptables -I INPUT -p tcp --dport xxxx -j ACCEPT
    где xxxx - номер порта. Или это в конец пост-файрвола добавилось бы. Главное, чтоб первая строчка - #!/bin/sh. Вывод iptables -L INPUT -vn был бы таким:
    Code:
    $ iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3061  291K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:xxxx 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID
 187K   17M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED, ESTABLISHED
16687 1001K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          state NEW
96672   35M ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0          state NEW
 4537 1650K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp spt:67 dpt:68
  245  139K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
    где xxxx - номер порта. Надеюсь post-firewall не в венде(допустим в блокноте) правил?

    На данном этапе интересны выводы команд:
    cat /usr/local/sbin/post-firewall
    ls -la /usr/local/sbin/
    вот выводы:
    cat /usr/local/sbin/post-firewall
    #!/bin/sh
    iptables -I INPUT -p tcp --dport xxxx -j ACCEPT

    ls -la /usr/local/sbin/
    drwxr-xr-x 1 gxxxx root 0 Oct 31 13:39 .
    drwxr-xr-x 1 gxxxx root 0 Dec 31 1999 ..
    -rwxr-xr-x 1 gxxxx root 142 Nov 8 16:19 post-boot
    -rwxr-xr-x 1 gxxxx root 58 Nov 9 02:06 post-firewall

    все вроде правильно..
    Reply With Quote Reply With Quote
  6. 09-11-2007, 13:39 #21
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Reyter View Post
    О как... А может все-таки проще FAR установить чем линукс патчить?
    все введено FARом, или VI-ем
    Reply With Quote Reply With Quote
  7. 09-11-2007, 13:53 #22
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by gsnake View Post
    cat /usr/local/sbin/post-firewall
    #!/bin/sh
    iptables -I INPUT -p tcp --dport xxxx -j ACCEPT

    ls -la /usr/local/sbin/
    drwxr-xr-x 1 gxxxx root 0 Oct 31 13:39 .
    drwxr-xr-x 1 gxxxx root 0 Dec 31 1999 ..
    -rwxr-xr-x 1 gxxxx root 142 Nov 8 16:19 post-boot
    -rwxr-xr-x 1 gxxxx root 58 Nov 9 02:06 post-firewall

    все вроде правильно..
    Так... Вопрос может и глупый, но все-таки...
    Роутер после создания и сохранения post-firewall перегружали?
    Либо - вручную post-firewall запускать пробовали?
    Либо - вручную ввести в шелле iptables -I INPUT -p tcp --dport xxxx -j ACCEPT пробовали?
    Reply With Quote Reply With Quote
  8. 09-11-2007, 14:35 #23
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Reyter View Post
    Так... Вопрос может и глупый, но все-таки...
    Роутер после создания и сохранения post-firewall перегружали?
    Либо - вручную post-firewall запускать пробовали?
    Либо - вручную ввести в шелле iptables -I INPUT -p tcp --dport xxxx -j ACCEPT пробовали?
    да - конечно. выполнил все 3 команды flashfs save, commit and enable. потом reboot.
    вручную post-firewall запускать не пробовал.. но я же с локалки могу на порт хххх зайти после того как все запускаю. если я номер порта поменяю то соответсвенно и на другой порт захожу. то есть стандатный 22-ой конечно не работает, а хххх (который указан в post-firewall и post-boot) принимает вызовы.. может порт не самый лучший выбрал?
    я использую 4662

    gsnake
    Reply With Quote Reply With Quote
  9. 09-11-2007, 14:48 #24
    BORODA(C)
    BORODA(C) is offline Senior Member
    Join Date
    Jan 2007
    Posts
    136
    Как узнать, загружался ли /usr/local/sbin/post-firewall ? Сей факт в логах должен отразиться?

    А нет ли чего в post-boot, что перебивает post-firewall?..
    Last edited by BORODA(C); 09-11-2007 at 14:51.
    Reply With Quote Reply With Quote
  10. 09-11-2007, 15:17 #25
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by BORODA(C) View Post
    Как узнать, загружался ли /usr/local/sbin/post-firewall ? Сей факт в логах должен отразиться?

    А нет ли чего в post-boot, что перебивает post-firewall?..
    в post-boot только команда на старт dropbear..
    Reply With Quote Reply With Quote
  11. 09-11-2007, 16:35 #26
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    я же с локалки могу на порт хххх зайти после того как все запускаю.
    Это не аргумент. Для того, чтобы зайти с локалки открывать вообще ничего не надо. Файрволл висит на WAN. На мой взгляд копать надо по вопросу запускается ли post-firewall, а если нет, то почему. В связи с этим предлагаю:

    Как узнать, загружался ли /usr/local/sbin/post-firewall ? Сей факт в логах должен отразиться?
    добавить комманду, скажем:
    logger "Executing post-firewall."
    Last edited by al37919; 09-11-2007 at 16:40.
    Reply With Quote Reply With Quote
  12. 11-11-2007, 00:29 #27
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by al37919 View Post
    Это не аргумент. Для того, чтобы зайти с локалки открывать вообще ничего не надо. Файрволл висит на WAN. На мой взгляд копать надо по вопросу запускается ли post-firewall, а если нет, то почему. В связи с этим предлагаю:


    добавить комманду, скажем:
    logger "Executing post-firewall."
    да - согласен. dropbear меня с толку сбил. он же на этом порту работает и поэтому коннект на этом порту есть а на других нет. тормознул я..
    добавил logger. теперь post-firewall выглядит так

    #!/bin/sh
    logger starting the iptables command
    iptables -I INPUT -p tcp --dport 4662 -j ACCEPT
    logger iptables initialized

    ------
    syslog.log:

    Nov 10 13:14:22 xxxx: starting the iptables command
    Nov 10 13:14:22 xxxx: iptables initialized

    попробовал добавить еще один порт. (у обоих dropbear и iptables) - не помогло.. кстати вот вывод такой команды

    iptables -L |grep ACCEPT
    Chain INPUT (policy ACCEPT)
    ACCEPT tcp -- anywhere anywhere tcp dpt:4524
    ACCEPT tcp -- anywhere anywhere tcp dpt:4662
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    ACCEPT all -- anywhere anywhere state NEW
    ACCEPT all -- anywhere anywhere state NEW
    ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
    Chain FORWARD (policy ACCEPT)
    ACCEPT all -- anywhere anywhere
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    ACCEPT all -- anywhere anywhere ctstate DNAT
    Chain OUTPUT (policy ACCEPT)
    LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence
    tcp-options ip-options prefix `ACCEPT '
    ACCEPT all -- anywhere anywhere
    Last edited by gsnake; 11-11-2007 at 03:05.
    Reply With Quote Reply With Quote
  13. 12-11-2007, 20:58 #28
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Есть подозрение что интернет-провайдер закрыл все порты совсем недавно.
    Хотя я слышал что порт 1720 всегда им открыт (для voice-over-ip). Я пробовал на этом порту и тоже без толку..
    Как можно вычислить порты, которые не заблокированы провайдером?
    Last edited by Mam(O)n; 12-11-2007 at 21:45. Reason: Целиком цитировать свой предыдущий пост это уже слишком...
    Reply With Quote Reply With Quote
  14. 12-11-2007, 21:43 #29
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Можно так:
    Code:
    # Создаём каталог для веб сервера
mkdir -p /tmp/www
# Создаём индекс страницу для проверки
echo "Preved!!" > /tmp/www/index.html
# Заворачиваем входящий трафик, предназначенный роутеру со всех портов на порт 81 роутера
iptables -t nat -I PREROUTING -s ip_с_которого_будет_идти_скан -d интернет_ип_адрес_роутера -p tcp -j DNAT --to lan_адрес_роутера:81
# Открваем 81 порт роутера
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
# Запускаем веб-сервер
busybox_httpd -p 81 -h /tmp/www
    И после (без перезагрузки!) сканируй порты роутера с какого-нибудь хоста из инета.
    Reply With Quote Reply With Quote
  15. 13-11-2007, 03:15 #30
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33

    Thumbs up

    Quote Originally Posted by Mam(O)n View Post
    Можно так:
    Code:
    # Создаём каталог для веб сервера
mkdir -p /tmp/www
# Создаём индекс страницу для проверки
echo "Preved!!" > /tmp/www/index.html
# Заворачиваем входящий трафик, предназначенный роутеру со всех портов на порт 81 роутера
iptables -t nat -I PREROUTING -s ip_с_которого_будет_идти_скан -d интернет_ип_адрес_роутера -p tcp -j DNAT --to lan_адрес_роутера:81
# Открваем 81 порт роутера
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
# Запускаем веб-сервер
busybox_httpd -p 81 -h /tmp/www
    И после (без перезагрузки!) сканируй порты роутера с какого-нибудь хоста из инета.
    Mam(O)n,
    супер! Наконец-то разобрался, огромное спасибо!!!
    Гр..ый провайдер закрыл все порты, кроме 8080, 443, 21, 22, 8000. Еще недавно все было нормально.
    Короче - все настроил и могу зайти с работы. Вопрос - как сделать ограниченное количество попыток входа? Я пытался искать и нашел вот это
    ----
    добавить в post-boot строчку в конце
    Код:

    insmod ipt_recent

    б) добавить в post-firewall две строчки в конце
    Код:

    iptables -t nat -I PREROUTING -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP

    где 1555 - порт ssh
    -----
    но почему-то ничего не работает..
    gsnake
    Reply With Quote Reply With Quote
Page 2 of 15 FirstFirst 123412 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Enable Web Access from WAN? YES-NO. Работает ли защита?
    By michaelV in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 38
    Last Post: 08-10-2013, 04:55
  2. Проблемы с RAdmin и Remote Desktop
    By dmitrych in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 184
    Last Post: 13-04-2013, 16:44
  3. [HowTo]Aria2 Torrent, FTP, HTTP mit Remote Control
    By newbiefan in forum German Discussion - Deutsch (DE)
    Replies: 3
    Last Post: 08-01-2012, 19:15
  4. Can't access my firmware
    By juvealerts in forum WL-500g Q&A
    Replies: 1
    Last Post: 10-11-2008, 16:11
  5. Access to NAS in LAN from WAN
    By Hexabyte in forum WL-500g Custom Development
    Replies: 1
    Last Post: 01-04-2008, 06:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules