SSH

CistiC · srpen 27, 2007, 6:28pm

Ve firme na Fedore 7 mam ve firewallu povoleno ssh i port 2222.
Dve sitovky. Jedna 192.168.1.132 (vnitrni sit,eth1) a druha 10.0.0.4 (DMZ,eth0).

Pokud se pripojuji pres putty z vnitrni site, tak vse normalne slape a je jedno, jestli se pripojuji na 192.168.1.132 nebo na 10.0.0.4.

Problem nastane ve chvili, kdyz se chci pripojit z domu.
Na modemu je nastaven NAT public(2222)->10.0.0.4(2222)
Network error: Connection timeout

Pritom predtim s OpenSuse to fungovalo v pohode.

NAVIC mam pustenej vmware s debianem. Je tam bridge na eth0, ip adresa VM je 10.0.0.3 a na modemu je NAT public(22)->10.0.0.3(22) a sem se z domu v pohode pripojim.

Fakt to nechapu, dokazete nekdo poradit?

Pernik · srpen 27, 2007, 6:38pm

192.168.x.x je neveřejná IP adresa, která není propagovaná do internetu (obdoba 10.x.x.x).

Odkud se na to chces pripojit?

CistiC · srpen 27, 2007, 7:02pm

Z domu se pripojim na verejnou IP adresu, ktera je pronatovana
public(2222)->10.0.0.4(2222)

Zevnitr to na 10.0.0.4 funguje.

Navic to z domu funguje na virtualni masinu, ktera na te Fedore bezi a je pronatovana uplne stejne
public(22)->10.0.0.3(22)

emel · srpen 27, 2007, 10:27pm

Nechcem ta sklamat, ale rozsah 10.X.X.X, 172.16.X.X az 172.31.X.X a 192.168.X.X su neverejne IP adresy a teda je pochopitelne, ze sa nikam nedostanes. Si si na 100% isty, ze v PuTTY zadavas verejnu IP adresu?

Stanley · srpen 28, 2007, 4:25am

Vždyť píše, že se připojuje na veřejnou IP a tu má přes NAT přesměrovanou na tuhle vnitřní. Vzhledem k tomu, že na virtuální stroj se stejným způsobem dostane tak bych mrknul na konfiguraci ssh, případně i selinux jestli to neblokuje. A pronatovat na tu adresu 194.xxx to nezkoušels?

CistiC · srpen 28, 2007, 5:02am

V SElinuxu jsem nic nenasel, ale ani bych se nedivil. Doslo mi, ze nejede nic pronatovanyho ssh(2222), web(80) ani vmware konzole(902).

Zevnitr to vsechno normlane funguje na obou rozhranich.

Na tu 192… jsem to nezkousel, protoze je to zapojeny takhle:

adsl modem

switch(DMZ)
…
Fedora(10.0.0.4)
Cisco
…
Fedora (192.168.1.132)
LAN

Neni to moc nazorny, takze slovy:
Za modemem je DMZ, kam je pripojeny cisco a Fedora 10.0.0.4 a na to Cisco je potom pripojeny zbytek LAN a Fedora 192.168.1.132

Stanley · srpen 28, 2007, 5:25am

Aha, myslel jsem, že ty vnitřní jsou obráceně. Zkusil bych cvičně vypnout ten selinux jestli třeba neblokuje veškerou komunikaci z venkovního rozhraní. A ve firewallu na té fedoře to máš povolený? Standardně tam bývá povolen jenom port 22 na ssh a pokud ten máš pro ten debian a ssh na fedoře předělaný na 2222 tak by to mohlo být ono. Firewall se jednoduše dá konfigurovat přes system-config-securitylevel tak tam mrkni.

covex · srpen 28, 2007, 8:35am

ssh -v
telnet public 2222 (odpovi ssh vubec nebo ne?)

Zkousel si na tom cilovem stroji koukat na prichozi provoz (ethereal, wireshark) zda tam ty pakety vubec prijdou a co se s nima deje?

CistiC · srpen 28, 2007, 12:11pm

Takze jsem zmenil port zpet na 22 zrusil jsem NAT 22 na virtualni masinu a nastavil na Fedoru. Zakazal jsem firewall i selinux.
Zkusil jsem NAT jak na 10.0.0.4 tak na 192.168.1.132.

Zevnitr opet vsechno bezi, zvenku nic.

Jeste je ponekud zvlastni, ze na Fedore bezi web, na modemu je public(80)->10.0.0.4(80).
Kdyz to stejne bylo predtim na suse, nezobrazilo se pri zadani public do prohlizece zevnitr site nic a ted tam skoci stranka modemu.

Uz jsem fakt v pasti. Ethereal jsem jeste nezkousel.

CistiC · srpen 28, 2007, 12:44pm

Tak wireshark zaznamena na 10.0.0.4 pokus o ssh z adresy, ze ktere to zkousim. Coz je nejaka 147… Tudiz pres NAT v modemu to projde. Firewall a Selinux porad vypnuty.

Za dalsi napady budu vdecen.

P.S.: Zkusil jsem web a wireshark prijme http request, ale tim to konci.

CistiC · srpen 28, 2007, 8:16pm

Tak uz to funguje. A co tomu bylo??? NIIIICCCCCC!!!

Odebral jsem sitovky ve sprave site hardware, restartoval, znovu nakonfiguroval znova, zapnul firewall, selinux a vse funguje.

Jedinej rozdil ze se ted ty sitovky chytily naopak eth0 a eth1.