URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92320
[ Назад ]
Исходное сообщение
"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 25-Сен-11 15:50 
Итак, суть такова: имею шлюз с белым ip. Почему-то не выходит подцепится к нему по ssh (к слову http сервер (nginx) тоже ничего не отдает). Коннект к миру идёт через PPPOE.
Конфиги\логи:
/usr/local/etc/mpd5/mpd.conf

default:
    load pppoe_client
pppoe_client:
#
# PPPoE client: only outgoing calls, auto reconnect,
# ipcp-negotiated address, one-sided authentication,
# default route points on ISP's end
#
    create bundle static B1
    set iface route default
    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
    
    create link static L1 pppoe
    set link action bundle B1
    set auth authname authname
    set auth password password
    set link max-redial 0
    set link mtu 1460
    set link keep-alive 10 60
    set pppoe iface ed1
    set pppoe service "service"
    open

/var/log/auth.log
Sep  4 15:05:25 gateway sshd[1789]: Did not receive identification string from ***.***.***.***

/var/log/nginx-access.log
***.***.***.*** - - [04/Sep/2011:15:50:14 +0300] "GET / HTTP/1.1" 200 151 "-" "Opera/9.80 (X11; Linux i686; U; en) Presto/2.9.168 Version/11.51"

ipfw

00010  24645  1770031 divert 8668 ip from 192.168.0.0/24 to any out via ng0
00020  18607  3303607 divert 8668 ip from any to me in via ng0
00030 134726 29222559 allow ip from any to any
65535      3      704 deny ip from any to any

Пинги с внешнего мира идут, порты видятся. Попытки коннекта заканчиваются розовой птицей обломинго. Ситуации аналогичные как с GENERIC, так и с самосборным ядром. Куда копать?
З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед НАТ"ом, результат - дырка от бублика.
Что характерно: до меня запросы доходят, а вот от меня, почему-то, не особо.
З.З.Ы. если такая тему уже была - прошу ткнуть носом, ибо я не в курсе куда копать
Содержание
Сообщения в этом обсуждении
"шлюз + NAT + ssh - не работает"
Отправлено Aquarius , 25-Сен-11 21:22 
>[оверквотинг удален]
> 704 deny ip from any to any
> Пинги с внешнего мира идут, порты видятся. Попытки коннекта заканчиваются розовой птицей
> обломинго. Ситуации аналогичные как с GENERIC, так и с самосборным ядром.
> Куда копать?
> З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед
> НАТ"ом, результат - дырка от бублика.
> Что характерно: до меня запросы доходят, а вот от меня, почему-то, не
> особо.
> З.З.Ы. если такая тему уже была - прошу ткнуть носом, ибо я
> не в курсе куда копать

конфиг natd в студию
так же интересует, происходит ли что-то после подключения

"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 27-Сен-11 08:08 
>[оверквотинг удален]
>> обломинго. Ситуации аналогичные как с GENERIC, так и с самосборным ядром.
>> Куда копать?
>> З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед
>> НАТ"ом, результат - дырка от бублика.
>> Что характерно: до меня запросы доходят, а вот от меня, почему-то, не
>> особо.
>> З.З.Ы. если такая тему уже была - прошу ткнуть носом, ибо я
>> не в курсе куда копать
> конфиг natd в студию
> так же интересует, происходит ли что-то после подключения

конфиг natd пустой

происходит:

# tcpdump -i ng0 | grep ssh
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
20:16:21.104215 IP 79.124.132.110.39151 > 46.98.187.233.ssh: Flags [S], seq 140787394, win 65280, options [mss 1360,nop,nop,TS val 1835431840 ecr 0,nop,wscale 0,nop,nop,sackOK], length 0
20:16:21.104423 IP 46.98.187.233.ssh > 79.124.132.110.39151: Flags [S.], seq 1132805327, ack 140787395, win 65535, options [mss 1360,nop,wscale 3,sackOK,TS val 2709910182 ecr 1835431840], length 0
20:16:23.173909 IP 79.124.132.110.39151 > 46.98.187.233.ssh: Flags [.], ack 1, win 65280, options [nop,nop,TS val 1837079965 ecr 2709910182], length 0
20:16:23.312975 IP 46.98.187.233.ssh > 79.124.132.110.39151: Flags [P.], ack 1, win 8256, options [nop,nop,TS val 2709912391 ecr 1837079965], length 40
20:16:24.285486 IP 79.124.132.110.39151 > 46.98.187.233.ssh: Flags [R], seq 140787395, win 0, length 0

на клиентском устройстве тишина


"шлюз + NAT + ssh - не работает"
Отправлено Pahanivo , 27-Сен-11 10:31 
включи напрямую комп-комп для начала
если получится копай в сторону pppoe
"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 27-Сен-11 20:39 
> включи напрямую комп-комп для начала
> если получится копай в сторону pppoe

шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но хотелось-бы и из мира доступ к нему иметь.
В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы от меня - тоже

"шлюз + NAT + ssh - не работает"
Отправлено stakado , 28-Сен-11 08:22 
>> включи напрямую комп-комп для начала
>> если получится копай в сторону pppoe
> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
> хотелось-бы и из мира доступ к нему иметь.
> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
> от меня - тоже

Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config:
ListenAddress x.x.x.x
Что написано?
А лучше весь конфиг sshd.

"шлюз + NAT + ssh - не работает"
Отправлено Pahanivo , 28-Сен-11 08:46 
> Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config:
> ListenAddress x.x.x.x
> Что написано?
> А лучше весь конфиг sshd.

наверно вы не читали верхние сообщения - стоит перечитать
особенно то, в котором автор дал лог tcpdump
ага

"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 28-Сен-11 13:08 
>>> включи напрямую комп-комп для начала
>>> если получится копай в сторону pppoe
>> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
>> хотелось-бы и из мира доступ к нему иметь.
>> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
>> от меня - тоже
> Наверное Вы это уже смотрели, но спросить стоит --- в конфиге sshd_config:
> ListenAddress x.x.x.x
> Что написано?
> А лучше весь конфиг sshd.

если-бы только ssh не ходил, я-бы понял что проблема в ДНК. Но тут и http не ходит на шлюз, вот в чем беда. Логи nginx'а в первом посте есть.

"шлюз + NAT + ssh - не работает"
Отправлено AdVv , 30-Сен-11 01:33 
>> включи напрямую комп-комп для начала
>> если получится копай в сторону pppoe
> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
> хотелось-бы и из мира доступ к нему иметь.
> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
> от меня - тоже

ищите проблему последовательно исключая варианты. Без нат ssh снаружи работает ?

"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 30-Сен-11 07:08 
>>> включи напрямую комп-комп для начала
>>> если получится копай в сторону pppoe
>> шлюз из локалки отзывается легко и непринужденно: как шлюз работает отлично, но
>> хотелось-бы и из мира доступ к нему иметь.
>> В чем беда в pppoe может быть? Пинги-то до меня доходят, ответы
>> от меня - тоже
> ищите проблему последовательно исключая варианты. Без нат ssh снаружи работает ?

нет, без НАТ"а тоже не работает

"шлюз + NAT + ssh - не работает"
Отправлено Square , 30-Сен-11 02:06 
> З.Ы. пробовал добавлять allow ip from any to any dst-port 22 перед
> НАТ"ом, результат - дырка от бублика.

перед  НАТ"ом:

allow ip from any to any via lo0
allow tcp from any to me 22,80 keep-state

в момент прихода пакета на порт 22 или 80 извне, будет создано динамическое правило для обратных пакетиков этой сессии, которое так же будет находиться ВЫШЕ ната, и обмен пакетов по этому порту не будет вообще попадать в нат.
Ибо им там делать нечего.

А ввобще наверное надо MTU подкрутить,
и
set iface enable tcpmssfix
и даже может быть
set pptp disable windowing

"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 30-Сен-11 07:52 
>[оверквотинг удален]
> в момент прихода пакета на порт 22 или 80 извне, будет создано
> динамическое правило для обратных пакетиков этой сессии, которое так же будет
> находиться ВЫШЕ ната, и обмен пакетов по этому порту не будет
> вообще попадать в нат.
> Ибо им там делать нечего.
> А ввобще наверное надо MTU подкрутить,
> и
> set iface enable tcpmssfix
> и даже может быть
> set pptp disable windowing

dhcppc05003pts/15<~/@> \ssh -vvv asd@46.98.187.233
OpenSSH_5.9p1 Debian-1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /home/komar/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 46.98.187.233 [46.98.187.233] port 22.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/komar/.ssh/id_rsa" as a RSA1 public key
debug1: identity file /home/komar/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-4095
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-4095
debug1: identity file /home/komar/.ssh/id_rsa-cert type -1
debug1: identity file /home/komar/.ssh/id_dsa type -1
debug1: identity file /home/komar/.ssh/id_dsa-cert type -1
debug1: identity file /home/komar/.ssh/id_ecdsa type -1
debug1: identity file /home/komar/.ssh/id_ecdsa-cert type -1

уже с новыми правилами и редактированием конфига

"шлюз + NAT + ssh - не работает"
Отправлено Wagner , 09-Окт-11 08:24 
с MTU поигрался, все те-же яйца получаем
"шлюз + NAT + ssh - не работает"
Отправлено KobaLTD. , 09-Окт-11 12:18 
> с MTU поигрался, все те-же яйца получаем

не знаю как для фри, с ней не работал - вам надо подкрутить MSS что в принцепе видно из вашего дампа
в линухе это
iptables -t mangle -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
на язык фри переведите сами

"шлюз + NAT + ssh - не работает"
Отправлено Square , 10-Окт-11 16:29 
>> с MTU поигрался, все те-же яйца получаем
> не знаю как для фри, с ней не работал - вам надо
> подкрутить MSS что в принцепе видно из вашего дампа
> в линухе это
> iptables -t mangle -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags
> SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> на язык фри переведите сами

это тот самый set iface enable tcpmssfix в конфиге мпд