Ïðîáëåìà ñ îòêðûòèåì è ïåðåàäðåñàöèåé ïîðòîâ íà ðîóòåðå

[Fant1k]

Ïåðåä òåì, êàê àíàëèçèðîâàòü iptables, ÿ áû ïðîâåðèë ñíà÷àëà òðèâèàëüíûå âåùè:
1) äåìîí sshd íà 192.168.1.222 ñëó÷àåì íå îãðàíè÷åí ëè ïðèåìîì ñîåäèíåíèé òîëüêî èç ëîêàëüíîé ñåòè?

Ñåðâåð æå îòâå÷àåò, åñëè ê íåìó ïîäêëþ÷àòüñÿ ïî âíåøíåìó àäðåñó ÷åðåç ðîóòåð. Òîëüêî ïðàâäà ïðè óñëîâèè, ÷òî ïîäêëþ÷àåøüñÿ èç ëîêàëêè.
ß ÷åñòíî ãîâîðÿ íå ïîíèìàþ - ïî÷åìó ÷åðåç òàêóþ "ïåòëþ" èäåò ñîåäèíåíèå, à êàê òîëüêî âûòàñêèâàåøü øíóðîê, ïîäêëþ÷àåøüñÿ ÷åðåç òåëåôîí èëè èç äîìà - íå ïîäêëþ÷àåòñÿ.

2) âîçâðàùàÿñü ê òåìå òîïèêà, åñëè ïðîêèíóòü ssh-òóííåëü íà 192.168.1.222:22, òî êàêîé áóäåò ðåçóëüòàò?

Ýìì...åñëè òàê ïîäêëþ÷àòüñÿ, òî îí ïîäêëþ÷èòñÿ ê ssh ðîóòåðà. Åñëè ïðîêèíóòü ïîðò 22, äî 22 ïîðòà íà ëîêàëüíûé àäðåññ, òî îïÿòü æå - ôèã.

3) åñëè îòâëå÷üñÿ îò ssh, ê ÷åìó ëèáî åùå íà 192.168.1.222 èç WAN ÷åðåç ôóíêöèîíàë Virtual Server ðîóòåðà ïîäêëþ÷èòüñÿ óäàâàëîñü?

Íà ñåðâåðå òàê æå ðàáîòàåò HTTP Server, ðåçóëüòàò òîò æå.

4) åñëè èçüÿòü âðåìåííî (ìàëî ëè) HUB ASUS GX 1008B è ïîäêëþ÷èòü êîìïüþòåð íàïðÿìóþ, ÷òî-ëèáî èçìåíèòñÿ?

Ïîïðîáóþ â ïîíåäåëüíèê.

[MercuryV]

Ñåðâåð æå îòâå÷àåò, åñëè ê íåìó ïîäêëþ÷àòüñÿ ïî âíåøíåìó àäðåñó ÷åðåç ðîóòåð. Òîëüêî ïðàâäà ïðè óñëîâèè, ÷òî ïîäêëþ÷àåøüñÿ èç ëîêàëêè.
ß ÷åñòíî ãîâîðÿ íå ïîíèìàþ - ïî÷åìó ÷åðåç òàêóþ "ïåòëþ" èäåò ñîåäèíåíèå, à êàê òîëüêî âûòàñêèâàåøü øíóðîê, ïîäêëþ÷àåøüñÿ ÷åðåç òåëåôîí èëè èç äîìà - íå ïîäêëþ÷àåòñÿ.

Êàæåòñÿ, "ñòàëî òåïëåå". Ïðåäïîëîæó, ÷òî èñïîëüçóåòñÿ OpenSSH, êàê øòàòíûé â Ubuntu.
 êîíôèã /etc/ssh/sshd_config âû çàãëÿäûâàëè? Èëè òîëüêî ñòàâèëè ýêñïåðèìåíòû "ñîåäèíèòñÿ - íå ñîåäèíèòñÿ" ?
Äàëåå, êîãäà âû ïîäêëþ÷àåòåñü èç ëîêàëüíîé ñåòè "ïî âíåøíåìó àäðåñó", äëÿ ssh ñåðâåðà ýòî âñ¸ ðàâíî ïîäêëþ÷åíèå èç ëîêàëüíîé ñåòè.
Ïðîâåðèòü ýòî ìîæíî, îáðàòèâøèñü ê ëîãó /var/log/auth.log Ïðè óñïåøíîì ïîäêëþ÷åíèè òàì áóäóò çàïèñè âèäà

Code:

sshd[14937]: Accepted password for username from 192.168.1.2 port 49230 ssh2

ò.å. âèäíî, îòêóäà ïðèøåë çàïðîñ íà ïîäêëþ÷åíèå.

---

Îòìå÷ó òàêæå, ÷òî ðàññëåäóåìàÿ ïðîáëåìà äëÿ òåìû "Èñïîëüçîâàíèå ssh-òóíåëåé äëÿ ..." - îôôòîïèê. Ðå÷ü èäåò î ïðîáðîñå ïîðòîâ íà ðîóòåðå, ïðàâèëàõ iptables, òåïåðü âîçìîæíî äîáàâèòñÿ íàñòðîéêà SSH ñåðâåðà íà êîìïüþòåðå çà ðîóòåðîì, íî òóííåëü ÷åðåç ssh-ñåðâåð íà ðîóòåðå íèêàêèì îáðàçîì íå çàäåéñòâîâàí.

[Fant1k]

Êàæåòñÿ, "ñòàëî òåïëåå". Ïðåäïîëîæó, ÷òî èñïîëüçóåòñÿ OpenSSH, êàê øòàòíûé â Ubuntu.
 êîíôèã /etc/ssh/sshd_config âû çàãëÿäûâàëè? Èëè òîëüêî ñòàâèëè ýêñïåðèìåíòû "ñîåäèíèòñÿ - íå ñîåäèíèòñÿ" ?
Äàëåå, êîãäà âû ïîäêëþ÷àåòåñü èç ëîêàëüíîé ñåòè "ïî âíåøíåìó àäðåñó", äëÿ ssh ñåðâåðà ýòî âñ¸ ðàâíî ïîäêëþ÷åíèå èç ëîêàëüíîé ñåòè.
Ïðîâåðèòü ýòî ìîæíî, îáðàòèâøèñü ê ëîãó /var/log/auth.log Ïðè óñïåøíîì ïîäêëþ÷åíèè òàì áóäóò çàïèñè âèäà

Code:

sshd[14937]: Accepted password for username from 192.168.1.2 port 49230 ssh2

---

ò.å. âèäíî, îòêóäà ïðèøåë çàïðîñ íà ïîäêëþ÷åíèå.

Íåò, êîíôèãè ÿ íå ñìîòðåë. Òîëüêî óñòàíîâèë ñåðâåð è ïðîâåðÿë íà ñîåäèíåíèå. Îáÿçàòåëüíî ãëÿíó ëîãè.

×åñòíî ãîâîðÿ, ó ìåíÿ çàêðàäûâàëàñü ìûñëü, ÷òî ñ ñåðâåðîì ÷òî òî íå òî, íî íå ìîã ïîíÿòü êàêàÿ ñâÿçü. Âåäü ÿ òàê ïîíèìàþ äëÿ âñåãî ÷òî â ñåòè âñå è ïðîèñõîäèò êàê áóäòî â ñåòè, ò.å. åñëè ÿ ïîäêëþ÷àþñü íà âíåøíèé àäðåñ, òî äî ñåðâåðà âñå ðàâíî äîõîäèò âíóòðåííèé àäðåñ ðîóòåðà, èëè íå òàê?
È äàæå åñëè íå òàê, ïî÷åìó êîãäà ÿ â ëîêàëêå çàõîæó ïî âíåøíåìó àäðåñó, òî îí åãî âîñïðèíèìàåò? È ïî÷åìó åñëè äåëî â ssh íà ñòîðîíå ñåðâåðà, òî ïî÷åìó è HTTP ñåðâåð íå äîñòóïåí? Òàê æå êîíôèãè àïà÷à ïðàâèòü?

Ïû.ñû. ÿ âîîáùå ñâîþ òåìó ñîçäàâàë, íî àäìèíèñòðàöèÿ ïåðåíåñëà ñþäà òåìó, çà ÷òî èì ñïàñèáî.
À âîîáùå òðóäíî ïðàâèëüíî ñîçäàòü òåìó, åñëè íå ïîíèìàåøü ïðè÷èíó ïðîáëåìû.

À êîíôèãå sshd_config íàïèñàíî

PHP Code:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress

Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600 


×åñòíî ãîâîðÿ íå âèæó íè÷åãî, ÷òî ìîæåò ïðåïÿòñòâîâàòü çàõîäó íà ñåðâåð. È ëîãè

PHP Code:

Jun 24 13:09:01 server CRON[8718]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 24 13:09:01 server CRON[8718]: pam_unix(cron:session): session closed for user root 


Âîò ýòè ñòðî÷êè ïîâòîðÿþòñÿ â ýòîì ëîã ôàéëå
Äàòà ñòîèò, êîãäà ÿ ïîñëåäíèé ðàç çàõîäèë íà ñåðâåð èç êîíñîëè ñåðâåðà, à íå ÷åðåç ssh.
×åðåç ssh çàõîäèë ïàðó ìèíóò íàçàä. Çàõîäèë êàê âñåãäà - ñíà÷àëà íà ðîóòåð, ïîòîì ÷åðåç ssh ðîóòåðà íà ssh ñåðâåðà.

[MercuryV]

Òåìå up òàê êàê äî ñèõ ïîð àêòóàëüíî

Ñîáîëåçíóþ, íî "Òåìå up" çäåñü íå ïðèíÿòî, îñîáåííî ñ âîïðîñîì íå ïî òåìå
Åñëè êòî ìîæåò îòâåòèòü è, ãëàâíîå, çàõî÷åò ýòî ñäåëàòü - îòâåòèò è òàê.
Òåïåðü î ïðîáëåìå
â ôàéëàõ /etc/hosts.allow è /etc/hosts.deny ÷òî ñîäåðæèòñÿ íà ìàøèíå ñ SSH ñåðâåðîì?

[Fant1k]

Ñîáîëåçíóþ, íî "Òåìå up" çäåñü íå ïðèíÿòî, îñîáåííî ñ âîïðîñîì íå ïî òåìå
Åñëè êòî ìîæåò îòâåòèòü è, ãëàâíîå, çàõî÷åò ýòî ñäåëàòü - îòâåòèò è òàê.
Òåïåðü î ïðîáëåìå
â ôàéëàõ /etc/hosts.allow è /etc/hosts.deny ÷òî ñîäåðæèòñÿ íà ìàøèíå ñ SSH ñåðâåðîì?

Ïðîøó ïðîùåíèÿ, íî íàäî æå áûëî êàê òî àêòóàëèçèðîâàòü òåìó. Ìîæíî áûëî áû åðóíäó êàêóþ òî íàïèñàòü, à ñìûñë?

PHP Code:

# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
# 


PHP Code:


# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID 


[staticroute]

Ïðîøó ïðîùåíèÿ, íî íàäî æå áûëî êàê òî àêòóàëèçèðîâàòü òåìó. Ìîæíî áûëî áû åðóíäó êàêóþ òî íàïèñàòü, à ñìûñë?

PHP Code:

# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
# 


PHP Code:


# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID 


Ó âàñ èíòåðíåò ñëó÷àåì íå NAT ? (ÿ èìåþ ââèäó ïðîâàéäåð äàåò âûäåëåííûé IP, ê êîòîðîìó ìîæíî ïîäñîåäèíèòñÿ èç âíåøêè èëè íåò?)

[Fant1k]

Ó âàñ èíòåðíåò ñëó÷àåì íå NAT ? (ÿ èìåþ ââèäó ïðîâàéäåð äàåò âûäåëåííûé IP, ê êîòîðîìó ìîæíî ïîäñîåäèíèòñÿ èç âíåøêè èëè íåò?)

Äà, âûäåëÿåò ip. À ÷òî îò ýòîãî çàâèñèò?
Äà ÿæ ìîãó ïîäñîåäèíèòüñÿ èç äîìà ïî ssh ê ðîóòåðó.
È íà âýá ìîðäó òîæå çàõîæó.

[staticroute]

Äà, âûäåëÿåò ip. À ÷òî îò ýòîãî çàâèñèò?
Äà ÿæ ìîãó ïîäñîåäèíèòüñÿ èç äîìà ïî ssh ê ðîóòåðó.
È íà âýá ìîðäó òîæå çàõîæó.

çíà÷èò äîëæåí è NAT ñðàáàòûâàòü íà êîìï, òî÷íî òàê æå.

ïîêàæèòå åùå ðàç

Code:

iptables -L -vn

Code:

iptables -t nat -L -vn

[Fant1k]

Âñåì ñïàñèáî çà ïîìîùü.

Ïðîáëåìà ðåøåíà. Àâòîð ðåøåíèÿ Mercury. Ïðîáëåìà ðåøåíà øòàòíûìè ñïîñîáàìè áåç òàíöîâ ñ áóáíàìè.

Àâòîðó áîëüøîå ñïàñèáî.

[staticroute]

Âñåì ñïàñèáî çà ïîìîùü.

Ïðîáëåìà ðåøåíà. Àâòîð ðåøåíèÿ Mercury. Ïðîáëåìà ðåøåíà øòàòíûìè ñïîñîáàìè áåç òàíöîâ ñ áóáíàìè.

Àâòîðó áîëüøîå ñïàñèáî.

â ÷åì æå â èòîãå áûëà ïðîáëåìà? â òîì, ÷òî Ubuntu ñåðâåð áûë çàôàéðâîëëåí ÿ òàê ïîíèìàþ?

[MercuryV]

â ÷åì æå â èòîãå áûëà ïðîáëåìà? â òîì, ÷òî Ubuntu ñåðâåð áûë çàôàéðâîëëåí?

Îñòàëîñü òàéíîé è ãàäàòü ñìûñëà íå âèæó. Ïîñëå ñáðîñà ðîóòåðà â äåôîëò Virtual Server âçëåòåë ñ ïåðâîé ïîïûòêè

[Fant1k]

â ÷åì æå â èòîãå áûëà ïðîáëåìà? â òîì, ÷òî Ubuntu ñåðâåð áûë çàôàéðâîëëåí ÿ òàê ïîíèìàþ?

Äà íå...êàêèå ôàéðâîëû...ÿæ êîíôèãè âñå óæå ïîêàçûâàë.

Áëèí. È ÿ ñêèäûâàë æå ýòîãî ãàäà è äåëàë âñå òî æå ñàìîå...ïðîñòî ìèñòèêà êàêàÿ òî

[LendLord]

Çäðàâñòâóéòå, ðîóòåð asus wl500w ðàíüøå ñòîÿëà îôèöèàëüíàÿ ïðîøèâêà. Òàì áûëî 3 ïîëÿ â äâà ïðîïèñûâàë ïîðò è â 1 ëîêàëüíûé ip.

Ñåé÷àñ ðåøèë ïîñòàâèòü ïïðîøèâêó WL500W-1.9.2.7-rtn-r4330 ñêà÷àë îòñþäà http://code.google.com/p/wl500g/downloads/list. Âñå âðîäå ðàáîòàåò, íî â íàñòðîéêå âèðòóàëüíîãî ñåðâåðà ïîÿâèëîñü íîâîå ïîëå "source ip". È âîò ñêîëüêî ÿ íå áèëñÿ, òàê ïîðò îòêðûòü è íó óäàëîñü.

Èçâèíÿþñü åñëè âîïðîñ óæå îáñóæäàëñÿ, íî ïîèñê íè÷åãî òîëêîì íå äàë...

[MercuryV]

Òàì áûëî 3 ïîëÿ â äâà ïðîïèñûâàë ïîðò è â 1 ëîêàëüíûé ip.
...
ïîÿâèëîñü íîâîå ïîëå "source ip"

Source IP ìîæåòå ïðîñòî èãíîðèðîâàòü (íå çàïîëíÿòü).

Êàê èñêàòü ïî ôîðóìó, ïîêà íå ðàáîòàåò âñòðîåííûé ïîèñê.
Ôðàçû äëÿ ïîèñêà: Virtual Server, Port forwarding

[LendLord]

ïðîáîâàë íå çàïîëíÿòü òîëêó 0. Ïîðò âñåðàâíî çàêðûò