URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32328
[ Назад ]
Исходное сообщение
"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено PheliXX , 16-Июл-03 14:40 
Еще раз день добрый. Никак не могу разобраться - есть BSD 4.4, две сетевые карты (машина выполняет роль шлюза в инет). Одна смотрит на улицу и имеет ряльный IP, вторая - внутренняя сеть организации.Пытаюсь настроить ssh. Проблема в том,  что ssh пускает клиента только из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх - работает, а на ряльный ip - нет.
Помогите советом плиз.
Пасибо.
Содержание
Сообщения в этом обсуждении
"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено schtazen , 16-Июл-03 16:06 
>Еще раз день добрый. Никак не могу разобраться - есть BSD 4.4,
>две сетевые карты (машина выполняет роль шлюза в инет). Одна смотрит
>на улицу и имеет ряльный IP, вторая - внутренняя сеть организации.Пытаюсь
>настроить ssh. Проблема в том,  что ssh пускает клиента только
>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>- работает, а на ряльный ip - нет.
>Помогите советом плиз.
>Пасибо.

root# ipfw list
что там?
не дропит ли он TCP на 22 порт?

"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено Brainbug , 16-Июл-03 16:13 
>>Еще раз день добрый. Никак не могу разобраться - есть BSD 4.4,
>>две сетевые карты (машина выполняет роль шлюза в инет). Одна смотрит
>>на улицу и имеет ряльный IP, вторая - внутренняя сеть организации.Пытаюсь
>>настроить ssh. Проблема в том,  что ssh пускает клиента только
>>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>>- работает, а на ряльный ip - нет.
>>Помогите советом плиз.
>>Пасибо.
>
>root# ipfw list
>что там?
>не дропит ли он TCP на 22 порт?

Может у тебя
sshd_config:
ListenAddress <внутренний адресс>

"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено _Vic_ , 16-Июл-03 16:23 
>>>настроить ssh. Проблема в том,  что ssh пускает клиента только
>>>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>>>- работает, а на ряльный ip - нет.

Еще может nat быть с ключиком -d , тогда входящие пакеты, которые не являются ответными на исходящие, молча убивает. Тогда перед ipfw divert надо поставить правило для разрешения пакетов на внешний адрес и порт 22.

"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено rrebel , 16-Июл-03 17:46 
У меня вроде похожая проблема есть. фря 4.7, natd. Если я по ssh прибиваю natd то ssh отваливается и больше я щаконнектиться не могу. С фильтрами все нормально. Не понимаю  как с этим связан natd????

"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено mazaj , 17-Июл-03 12:16 
>>>Проблема в том,  что ssh пускает клиента только
>>>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>>>- работает, а на ряльный ip - нет.
>>>Помогите советом плиз.
>>>Пасибо.
>>
>>root# ipfw list
>>что там?
>>не дропит ли он TCP на 22 порт?
>
>Может у тебя
>sshd_config:
>ListenAddress <внутренний адресс>

а есть еще файлик /etc/hosts.allow

"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено PheliXX , 17-Июл-03 12:31 
>>>>Проблема в том,  что ssh пускает клиента только
>>>>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>>>>- работает, а на ряльный ip - нет.
>>>>Помогите советом плиз.
>>>>Пасибо.
>>>
>>>root# ipfw list
>>>что там?
>>>не дропит ли он TCP на 22 порт?
>>
>>Может у тебя
>>sshd_config:
>>ListenAddress <внутренний адресс>
>
>а есть еще файлик /etc/hosts.allow

по ipfw show так:
00050  83374 34831219 divert 8668 ip from any to any via ed0
00100      8      380 allow ip from any to any via lo0
00200      0        0 deny ip from any to 127.0.0.0/8
00300      0        0 deny ip from 127.0.0.0/8 to any
65000 161624 69849685 allow ip from any to any
65535      1       59 deny ip from any to any

в sshd_config у мя ListenAddress 0.0.0.0
пробовал комментировать - то же самое - не помогает.


"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено mazaj , 17-Июл-03 12:46 
>>>>>Проблема в том,  что ssh пускает клиента только
>>>>>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>>>>>- работает, а на ряльный ip - нет.

в файерволе у тебя все разрешено... (я бы так не делал, но это уже тема отдельного разговора)

У меня так:
===============================
-------/etc/hosts.allow--------
===============================
sshd : localhost : allow
#sshd : xxx.xxx.xxx.xxx : allow # это если один какойто IP адрес
sshd : 192.168. : allow
#sshd : ALL : deny
sshd : ALL : allow  #разрешаю отвсюду, т.к. запрещаю всем кроме mazaj

===============================
--/usr/local/etc/sshd_config---
===============================
....
AllowHosts 192.168.0.*
AllowHosts *
AllowUsers mazaj #разрешаю сдесь
....


"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено PheliXX , 17-Июл-03 13:38 
>>>>>>Проблема в том,  что ssh пускает клиента только
>>>>>>из внутренней сети, а "с улицы" отказывает. Т.е. ssh на 192.168.хх.хх
>>>>>>- работает, а на ряльный ip - нет.
>
>в файерволе у тебя все разрешено... (я бы так не делал, но
>это уже тема отдельного разговора)
>
>У меня так:
>===============================
>-------/etc/hosts.allow--------
>===============================
>sshd : localhost : allow
>#sshd : xxx.xxx.xxx.xxx : allow # это если один какойто IP адрес
>
>sshd : 192.168. : allow
>#sshd : ALL : deny
>sshd : ALL : allow  #разрешаю отвсюду, т.к. запрещаю всем кроме
>mazaj
>
>===============================
>--/usr/local/etc/sshd_config---
>===============================
>....
>AllowHosts 192.168.0.*
>AllowHosts *
>AllowUsers mazaj #разрешаю сдесь
>....

а что есть sshd : 192.168. : allow из /etc/hosts.allow
локальном адресе то у мя как раз все работает, а на внешнем нет...
иль не понимаю чего?

опции AllowHosts в /etc/ssh/sshd_config
вабще нету....
?
фиг знает уже де рыть...

"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено mazaj , 17-Июл-03 14:03 
>
>а что есть sshd : 192.168. : allow из /etc/hosts.allow
>локальном адресе то у мя как раз все работает, а на внешнем
>нет...
>иль не понимаю чего?

Система (Фря), при попытке установления соединения с сервером каким-либо клиентом, смотрит файл /etc/hosts.allow... формат типа такого:
сервис: адрес клиента : разрешить/запретить
строчка "sshd : ALL : allow " разрешает всем обращаться к ССШ

>
>опции AllowHosts в /etc/ssh/sshd_config
>вабще нету....

напши :)

>?
>фиг знает уже де рыть...


"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено PheliXX , 17-Июл-03 14:08 
>>
>>а что есть sshd : 192.168. : allow из /etc/hosts.allow
>>локальном адресе то у мя как раз все работает, а на внешнем
>>нет...
>>иль не понимаю чего?
>
>Система (Фря), при попытке установления соединения с сервером каким-либо клиентом, смотрит файл
>/etc/hosts.allow... формат типа такого:
>сервис: адрес клиента : разрешить/запретить
>строчка "sshd : ALL : allow " разрешает всем обращаться к ССШ
>
>
>>
>>опции AllowHosts в /etc/ssh/sshd_config
>>вабще нету....
>
>напши :)
>
>>?
>>фиг знает уже де рыть...
ее в принципе нету! man sshd
если пишу, -  ругается естессно


"Здравствуйте уважаемые. Почему ssh не пускает с 'улицы'?"
Отправлено _Vic_ , 17-Июл-03 17:40 
>по ipfw show так:
>00050  83374 34831219 divert 8668 ip from any to any via ed0

Так вот, если нат с ключиком -d запущен, то приходящий пакет не имеет в таблице у ната записи, что это ответ на какой-то исходящий пакет. Поэтому он этот пакет молча кушает и все - никуда дальше он не проходит. Поэтому нужно что-то типа такого

ipfw add 20 pass tcp from any to _exernal_ip_adress_ 22