forum.opennet.ru - "SSH через NAT" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"SSH через NAT"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"SSH через NAT"
Сообщение от David on 26-Ноя-02, 16:10 (MSK)
Ситуация такая: есть шлюз в интернет с FreeBSD 4.7 для локальной сети с виндовыми компами. Работа с инетом через NAT. Я настроил natd c ipfw. В правилах ipfw стоит диверт и allow all from any to any (так что в файерволе тут вряд ли дело). После настройки всё вроде работает нормально, инет для локалки есть, но... Проблема: когда я попытался соединиться с внешним ssh-сервером (где-то в инете), работая на виндовой тачке исползуя виндовый ssh-клиент, то ничего не вышло, говорит что тачка недоступна. Попробовал соединиться со шлюза - всё работает. Пробовал соединиться с другими серверами - ситуация такая же. Я почти уверен, что дело в NAT. Я что-то слышал про проблемы с FTP через NAT, но про SSH - впервые сталкиваюсь. Подскажите, плиз, как правильно настроить natd, чтобы всё работало? Заранее спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: SSH через NAT, LinaS, 16:36 , 26-Ноя-02, (1)
- RE: SSH через NAT, Nikolaev D., 18:05 , 26-Ноя-02, (2)
  - RE: SSH через NAT, David, 02:50 , 27-Ноя-02, (4)
- RE: SSH через NAT, David, 02:45 , 27-Ноя-02, (3)
  - RE: SSH через NAT, LinaS, 10:02 , 27-Ноя-02, (6)
    - RE: SSH через NAT, David, 10:14 , 27-Ноя-02, (8)
RE: SSH через NAT, Alexey Leonchik, 04:52 , 27-Ноя-02, (5)
- RE: SSH через NAT, David, 10:05 , 27-Ноя-02, (7)
  - RE: SSH через NAT, LinaS, 10:22 , 27-Ноя-02, (9)
  - RE: SSH через NAT, lavr, 10:30 , 27-Ноя-02, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: SSH через NAT"

Сообщение от LinaS on 26-Ноя-02, 16:36  (MSK)

>Подскажите, плиз, как правильно настроить natd, чтобы всё работало?
>Заранее спасибо.
скорее всего не в НАТ дело... SSH через НАТ прекрасно работает.
хоть ты и говоришь, что на файрволле все открыто, а все же покажи :)
ipfw show

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: SSH через NAT"

Сообщение от Nikolaev D. on 26-Ноя-02, 18:05  (MSK)

telnet remoutehost 22 соединяется ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: SSH через NAT"

Сообщение от David on 27-Ноя-02, 02:50  (MSK)

>telnet remoutehost 22 соединяется ?
нет, обрывается по тайм-ауту.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: SSH через NAT"

Сообщение от David on 27-Ноя-02, 02:45  (MSK)

>покажи :)
>ipfw show
00100 27 1944 allow tcp from 192.168.0.0/24 to any 22
00101 18 1584 allow tcp from any 22 to 192.168.0.0/24
01001 18 1030 divert 8668 ip from any to any via ed0
<тут куча каунтеров>
60000 36 2060 allow ip from any to any
65535  0    0 deny ip from any to any
(первые два правила написаны на всякий случай, т.к. консольный доступ к шлюзу затруднён)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: SSH через NAT"

Сообщение от LinaS on 27-Ноя-02, 10:02  (MSK)

>>покажи :)
>>ipfw show
>
>00100 27 1944 allow tcp from 192.168.0.0/24 to any 22
>00101 18 1584 allow tcp from any 22 to 192.168.0.0/24
>01001 18 1030 divert 8668 ip from any to any via ed0
>
><тут куча каунтеров>
>60000 36 2060 allow ip from any to any
>65535  0    0 deny ip from any to
>any
>
>(первые два правила написаны на всякий случай, т.к. консольный доступ к шлюзу
>затруднён)

теперь смотри: разрешаешь ssh 100 и 101 правилом из сетки с частным адресом, а дивертить кто будет?
в 100 и 101 правиле замени allow на skipto 1001 (т.е. на правило с divert)
и все должно заработать...

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: SSH через NAT"

Сообщение от David on 27-Ноя-02, 10:14  (MSK)

>теперь смотри: разрешаешь ssh 100 и 101 правилом из сетки с частным
>адресом, а дивертить кто будет?
>в 100 и 101 правиле замени allow на skipto 1001 (т.е. на
>правило с divert)
>и все должно заработать...
точно! забыл, что после соответствия allow следующие правила не просматриваются.
Спасибо большое, всё, очевидно :), заработало.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: SSH через NAT"

Сообщение от Alexey Leonchik on 27-Ноя-02, 04:52  (MSK)

Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может поможет ...
С уважением Алексей Леончик

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: SSH через NAT"

Сообщение от David on 27-Ноя-02, 10:05  (MSK)

>Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты
>из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может
>поможет ...
Ну ты как минимум ошибся: 0-65535 - это не привелегированные, а вообще все возможные порты. Привелегированные - это 0-1023, если я не ошибаюсь. Но я не понял: ты хочешь сказать, что протокол требует в качестве клиентского порта привелегированный, а NAT при трансляции ему этого не даёт? Честно - не поверю, пока сам не увижу. Ну а если это вдруг так, то как мне с этим бороться?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: SSH через NAT"

Сообщение от LinaS on 27-Ноя-02, 10:22  (MSK)

>>Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты
>>из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может
>>поможет ...
>
>Ну ты как минимум ошибся: 0-65535 - это не привелегированные, а вообще
>все возможные порты. Привелегированные - это 0-1023, если я не ошибаюсь.
>Но я не понял: ты хочешь сказать, что протокол требует в
>качестве клиентского порта привелегированный, а NAT при трансляции ему этого не
>даёт? Честно - не поверю, пока сам не увижу. Ну а
>если это вдруг так, то как мне с этим бороться?
насчет привилегированных (0-1023) ты не ошибся.
насчет требований в качесвте клиентского порта привилегированного:
есть такой параметр в ssh_config, называется UsePrivilegedPort, по умолчанию - "no". Он вроде нужен только если авторизация через RhostAuthentication или RhostRSAAuthentication и по-моему ужо нигде не используется... и то, насколько помню, там вроде порты использовались (клиентские) с 1020 по 1023 на это дело (вот тут могу ошибаться)
так что смотри выше и попробуй, как я написала...

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: SSH через NAT"

Сообщение от lavr on 27-Ноя-02, 10:30  (MSK)

>>Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты
>>из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может
>>поможет ...
>
>Ну ты как минимум ошибся: 0-65535 - это не привелегированные, а вообще
>все возможные порты. Привелегированные - это 0-1023, если я не ошибаюсь.
>Но я не понял: ты хочешь сказать, что протокол требует в
>качестве клиентского порта привелегированный, а NAT при трансляции ему этого не
>даёт? Честно - не поверю, пока сам не увижу. Ну а
hosts.equiv/.rhosts(RHosts авторизация) (SSH Protocol-1)
>если это вдруг так, то как мне с этим бороться?
ssh -P (использования SSH Protocol-2)
man ssh
при возможности запуск sshd на двух портах, например:
[unix1]~ > grep Port /etc/ssh/sshd_config
Port 22
Port 2022
[unix1]~ >

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: SSH через NAT"
Сообщение от LinaS on 26-Ноя-02, 16:36 (MSK)
>Подскажите, плиз, как правильно настроить natd, чтобы всё работало? >Заранее спасибо. скорее всего не в НАТ дело... SSH через НАТ прекрасно работает. хоть ты и говоришь, что на файрволле все открыто, а все же покажи :) ipfw show
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: SSH через NAT"
	Сообщение от Nikolaev D. on 26-Ноя-02, 18:05 (MSK)
	telnet remoutehost 22 соединяется ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: SSH через NAT"
	Сообщение от David on 27-Ноя-02, 02:50 (MSK)
	>telnet remoutehost 22 соединяется ? нет, обрывается по тайм-ауту.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: SSH через NAT"
	Сообщение от David on 27-Ноя-02, 02:45 (MSK)
	>покажи :) >ipfw show 00100 27 1944 allow tcp from 192.168.0.0/24 to any 22 00101 18 1584 allow tcp from any 22 to 192.168.0.0/24 01001 18 1030 divert 8668 ip from any to any via ed0 <тут куча каунтеров> 60000 36 2060 allow ip from any to any 65535 0 0 deny ip from any to any (первые два правила написаны на всякий случай, т.к. консольный доступ к шлюзу затруднён)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: SSH через NAT"
	Сообщение от LinaS on 27-Ноя-02, 10:02 (MSK)
	>>покажи :) >>ipfw show > >00100 27 1944 allow tcp from 192.168.0.0/24 to any 22 >00101 18 1584 allow tcp from any 22 to 192.168.0.0/24 >01001 18 1030 divert 8668 ip from any to any via ed0 > ><тут куча каунтеров> >60000 36 2060 allow ip from any to any >65535 0 0 deny ip from any to >any > >(первые два правила написаны на всякий случай, т.к. консольный доступ к шлюзу >затруднён) теперь смотри: разрешаешь ssh 100 и 101 правилом из сетки с частным адресом, а дивертить кто будет? в 100 и 101 правиле замени allow на skipto 1001 (т.е. на правило с divert) и все должно заработать...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: SSH через NAT"
	Сообщение от David on 27-Ноя-02, 10:14 (MSK)
	>теперь смотри: разрешаешь ssh 100 и 101 правилом из сетки с частным >адресом, а дивертить кто будет? >в 100 и 101 правиле замени allow на skipto 1001 (т.е. на >правило с divert) >и все должно заработать... точно! забыл, что после соответствия allow следующие правила не просматриваются. Спасибо большое, всё, очевидно :), заработало.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "RE: SSH через NAT"
Сообщение от Alexey Leonchik on 27-Ноя-02, 04:52 (MSK)
Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может поможет ... С уважением Алексей Леончик
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: SSH через NAT"
	Сообщение от David on 27-Ноя-02, 10:05 (MSK)
	>Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты >из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может >поможет ... Ну ты как минимум ошибся: 0-65535 - это не привелегированные, а вообще все возможные порты. Привелегированные - это 0-1023, если я не ошибаюсь. Но я не понял: ты хочешь сказать, что протокол требует в качестве клиентского порта привелегированный, а NAT при трансляции ему этого не даёт? Честно - не поверю, пока сам не увижу. Ну а если это вдруг так, то как мне с этим бороться?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: SSH через NAT"
	Сообщение от LinaS on 27-Ноя-02, 10:22 (MSK)
	>>Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты >>из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может >>поможет ... > >Ну ты как минимум ошибся: 0-65535 - это не привелегированные, а вообще >все возможные порты. Привелегированные - это 0-1023, если я не ошибаюсь. >Но я не понял: ты хочешь сказать, что протокол требует в >качестве клиентского порта привелегированный, а NAT при трансляции ему этого не >даёт? Честно - не поверю, пока сам не увижу. Ну а >если это вдруг так, то как мне с этим бороться? насчет привилегированных (0-1023) ты не ошибся. насчет требований в качесвте клиентского порта привилегированного: есть такой параметр в ssh_config, называется UsePrivilegedPort, по умолчанию - "no". Он вроде нужен только если авторизация через RhostAuthentication или RhostRSAAuthentication и по-моему ужо нигде не используется... и то, насколько помню, там вроде порты использовались (клиентские) с 1020 по 1023 на это дело (вот тут могу ошибаться) так что смотри выше и попробуй, как я написала...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: SSH через NAT"
	Сообщение от lavr on 27-Ноя-02, 10:30 (MSK)
	>>Вообще, SSH немного странноватый протокол :) Например, на локальной машине, выбирает порты >>из пула ПРИВИЛЕГИРОВАННЫХ т.е. 0-65535 Обрати внимание на это - может >>поможет ... > >Ну ты как минимум ошибся: 0-65535 - это не привелегированные, а вообще >все возможные порты. Привелегированные - это 0-1023, если я не ошибаюсь. >Но я не понял: ты хочешь сказать, что протокол требует в >качестве клиентского порта привелегированный, а NAT при трансляции ему этого не >даёт? Честно - не поверю, пока сам не увижу. Ну а hosts.equiv/.rhosts(RHosts авторизация) (SSH Protocol-1) >если это вдруг так, то как мне с этим бороться? ssh -P (использования SSH Protocol-2) man ssh при возможности запуск sshd на двух портах, например: [unix1]~ > grep Port /etc/ssh/sshd_config Port 22 Port 2022 [unix1]~ >
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх