Итак, суть такова: имею шлюз с белым ip. Почему-то не выходит подцепится к нему по ssh (к слову http сервер (nginx) тоже ничего не отдает). Коннект к миру идёт через PPPOE.
Конфиги\логи:
/usr/local/etc/mpd5/mpd.conf
default:
load pppoe_client
pppoe_client:
#
# PPPoE client: only outgoing calls, auto reconnect,
# ipcp-negotiated address, one-sided authentication,
# default route points on ISP's end
#create bundle static B1
set iface route default
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
create link static L1 pppoe
set link action bundle B1
set auth authname authname
set auth password password
set link max-redial 0
set link mtu 1460
set link keep-alive 10 60
set pppoe iface ed1
set pppoe service "service"
open
/var/log/auth.logSep 4 15:05:25 gateway sshd[1789]: Did not receive identification string from ***.***.***.***
/var/log/nginx-access.log***.***.***.*** - - [04/Sep/2011:15:50:14 +0300] "GET / HTTP/1.1" 200 151 "-" "Opera/9.80 (X11; Linux i686; U; en) Presto/2.9.168 Version/11.51"
ipfw
00010 24645 1770031 divert 8668 ip from 192.168.0.0/24 to any out via ng0
00020 18607 3303607 divert 8668 ip from any to me in via ng0
00030 134726 29222559 allow ip from any to any
65535 3 704 deny ip from any to any
Пинги с внешнего мира идут, порты видятся. Попытки коннекта заканчиваются розовой птицей обломинго. Ситуации аналогичные как с GENERIC, так и с самосборным ядром. Куда копать?
З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед НАТ"ом, результат - дырка от бублика.
Что характерно: до меня запросы доходят, а вот от меня, почему-то, не особо.
З.З.Ы. если такая тему уже была - прошу ткнуть носом, ибо я не в курсе куда копать
>[оверквотинг удален]
> 704 deny ip from any to any
конфиг natd в студию
так же интересует, происходит ли что-то после подключения
>[оверквотинг удален]
>> обломинго. Ситуации аналогичные как с GENERIC, так и с самосборным ядром.
>> Куда копать?
>> З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед
>> НАТ"ом, результат - дырка от бублика.
>> Что характерно: до меня запросы доходят, а вот от меня, почему-то, не
>> особо.
>> З.З.Ы. если такая тему уже была - прошу ткнуть носом, ибо я
>> не в курсе куда копать
> конфиг natd в студию
> так же интересует, происходит ли что-то после подключенияконфиг natd пустой
происходит:
# tcpdump -i ng0 | grep ssh
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
20:16:21.104215 IP 79.124.132.110.39151 > 46.98.187.233.ssh: Flags [S], seq 140787394, win 65280, options [mss 1360,nop,nop,TS val 1835431840 ecr 0,nop,wscale 0,nop,nop,sackOK], length 0
20:16:21.104423 IP 46.98.187.233.ssh > 79.124.132.110.39151: Flags [S.], seq 1132805327, ack 140787395, win 65535, options [mss 1360,nop,wscale 3,sackOK,TS val 2709910182 ecr 1835431840], length 0
20:16:23.173909 IP 79.124.132.110.39151 > 46.98.187.233.ssh: Flags [.], ack 1, win 65280, options [nop,nop,TS val 1837079965 ecr 2709910182], length 0
20:16:23.312975 IP 46.98.187.233.ssh > 79.124.132.110.39151: Flags [P.], ack 1, win 8256, options [nop,nop,TS val 2709912391 ecr 1837079965], length 40
20:16:24.285486 IP 79.124.132.110.39151 > 46.98.187.233.ssh: Flags [R], seq 140787395, win 0, length 0на клиентском устройстве тишина
включи напрямую комп-комп для начала
если получится копай в сторону pppoe
> включи напрямую комп-комп для начала
> если получится копай в сторону pppoeшлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но хотелось-бы и из мира доступ к нему иметь.
В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы от меня - тоже
>> включи напрямую комп-комп для начала
>> если получится копай в сторону pppoe
> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
> хотелось-бы и из мира доступ к нему иметь.
> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
> от меня - тожеНаверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config:
ListenAddress x.x.x.x
Что написано?
А лучше весь конфиг sshd.
> Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config:
> ListenAddress x.x.x.x
> Что написано?
> А лучше весь конфиг sshd.наверно вы не читали верхние сообщения - стоит перечитать
особенно то, в котором автор дал лог tcpdump
ага
>>> включи напрямую комп-комп для начала
>>> если получится копай в сторону pppoe
>> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
>> хотелось-бы и из мира доступ к нему иметь.
>> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
>> от меня - тоже
> Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config:
> ListenAddress x.x.x.x
> Что написано?
> А лучше весь конфиг sshd.если-бы только ssh не ходил, я-бы понял что проблема в ДНК. Но тут и http не ходит на шлюз, вот в чем беда. Логи nginx'а в первом посте есть.
>> включи напрямую комп-комп для начала
>> если получится копай в сторону pppoe
> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
> хотелось-бы и из мира доступ к нему иметь.
> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
> от меня - тожеищите проблему последовательно исключая варианты. Без нат ssh снаружи работает ?
>>> включи напрямую комп-комп для начала
>>> если получится копай в сторону pppoe
>> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
>> хотелось-бы и из мира доступ к нему иметь.
>> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
>> от меня - тоже
> ищите проблему последовательно исключая варианты. Без нат ssh снаружи работает ?нет, без НАТ"а тоже не работает
> З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед
> НАТ"ом, результат - дырка от бублика.перед НАТ"ом:
allow ip from any to any via lo0
allow tcp from any to me 22,80 keep-stateв момент прихода пакета на порт 22 или 80 извне, будет создано динамическое правило для обратных пакетиков этой сессии, которое так же будет находиться ВЫШЕ ната, и обмен пакетов по этому порту не будет вообще попадать в нат.
Ибо им там делать нечего.А ввобще наверное надо MTU подкрутить,
и
set iface enable tcpmssfix
и даже может быть
set pptp disable windowing
>[оверквотинг удален]
> в момент прихода пакета на порт 22 или 80 извне, будет создано
> динамическое правило для обратных пакетиков этой сессии, которое так же будет
> находиться ВЫШЕ ната, и обмен пакетов по этому порту не будет
> вообще попадать в нат.
> Ибо им там делать нечего.
> А ввобще наверное надо MTU подкрутить,
> и
> set iface enable tcpmssfix
> и даже может быть
> set pptp disable windowingdhcppc05003pts/15<~/@> \ssh -vvv asd@46.98.187.233
OpenSSH_5.9p1 Debian-1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /home/komar/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 46.98.187.233 [46.98.187.233] port 22.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/komar/.ssh/id_rsa" as a RSA1 public key
debug1: identity file /home/komar/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-4095
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-4095
debug1: identity file /home/komar/.ssh/id_rsa-cert type -1
debug1: identity file /home/komar/.ssh/id_dsa type -1
debug1: identity file /home/komar/.ssh/id_dsa-cert type -1
debug1: identity file /home/komar/.ssh/id_ecdsa type -1
debug1: identity file /home/komar/.ssh/id_ecdsa-cert type -1уже с новыми правилами и редактированием конфига
с MTU поигрался, все те-же яйца получаем
> с MTU поигрался, все те-же яйца получаемне знаю как для фри, с ней не работал - вам надо подкрутить MSS что в принцепе видно из вашего дампа
в линухе это
iptables -t mangle -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
на язык фри переведите сами
>> с MTU поигрался, все те-же яйца получаем
> не знаю как для фри, с ней не работал - вам надо
> подкрутить MSS что в принцепе видно из вашего дампа
> в линухе это
> iptables -t mangle -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags
> SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> на язык фри переведите самиэто тот самый set iface enable tcpmssfix в конфиге мпд