The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Снаружи не виден ssh"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Снаружи не виден ssh"  
Сообщение от pastorius (ok) on 21-Июн-06, 10:07 
Система FreeBSD 6.0, фильтр PF
Из локалки по ssh захожу свободно, но из внешнего мира никак, все кто сканил порты говорят что закрыт 22 порт. Вот конфиги:

/etc/ssh/sshd_config:
Port 22
Protocol 2
ListenAddress 0.0.0.0
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel DEBUG
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RhostsRSAAuthentication no
IgnoreUserKnownHosts yes
IgnoreRhosts yes
PasswordAuthentication yes
ChallengeResponseAuthentication yes
TCPKeepAlive yes
UseLogin yes
UseDNS no
UsePAM yes
MaxStartups 5:50:10

/etc/pf.conf
ext_if = "an0"
int_if = "rl0"

tcp_in = "25, 80, 110, 113, 443, 465, 995"
icmp_types="echoreq"

tcp_rdr = "1494, 3389"
host_rdr = "192.168.1.10"

# options
set block-policy drop
set loginterface $ext_if

set skip on { lo0 gif0 }

# scrub
scrub in all

# nat/rdr
nat on $ext_if from !($ext_if) -> ($ext_if:0)
rdr pass on $ext_if proto tcp from xxx.xxx.xxx.xxx to port { $tcp_rdr } -> $host_rdr
rdr on $int_if inet proto tcp to !(self) port 80 -> 127.0.0.1 port 3128

# filter rules
block in log

pass out all keep state

antispoof quick for { lo0 $int_if }

pass in on $ext_if inet proto tcp from any to ($ext_if) port ssh flags S/SA keep state
pass in on $ext_if inet proto tcp from any to ($ext_if) port { $tcp_in } flags S/SA keep state
pass in on $ext_if inet proto tcp from any to $host_rdr port { $tcp_rdr } flags S/SA keep state
pass in on $int_if inet proto tcp from any to 127.0.0.1 port 3128 keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass quick on $int_if

Вроде бы правила для ssh и для остальных портов идентичны, но ssh закрыт, а остальные нет!
При попытке законектиться извне по ssh, отваливается по тайм ауту, в логах тишина. Прямо аномалия какая-то.

# pfctl -sr
scrub in all fragment reassemble
block drop in log all
pass out all keep state
block drop in quick on ! lo0 inet from 127.0.0.0/8 to any
block drop in quick on ! rl0 inet from 192.168.1.0/24 to any
block drop in quick inet from 192.168.1.1 to any
pass in on an0 inet proto tcp from any to (an0) port = ssh flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = smtp flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = http flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = pop3 flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = auth flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = https flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = smtps flags S/SA keep state
pass in on an0 inet proto tcp from any to (an0) port = pop3s flags S/SA keep state
pass in on an0 inet proto tcp from any to 192.168.1.10 port = ica flags S/SA keep state
pass in on an0 inet proto tcp from any to 192.168.1.10 port = rdp flags S/SA keep state
pass in on rl0 inet proto tcp from any to 127.0.0.1 port = 3128 keep state
pass in inet proto icmp all icmp-type echoreq keep state
pass quick on rl0 all

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Снаружи не виден ssh"  
Сообщение от redduck on 22-Июн-06, 04:58 
Точно не знаю, но где то проскакивала инфа что многие провайдеры закрывают привелегированные порты, не все конечно, попробуй подправить конфиг sshd_config, открой дополнительно какой нибудь свободный порт выше 1024.
Как то уезжал в отпуск столкнулся с такойже проблемой немог зайти по ssh, приехал перепроверил конфиги нормальные  и sshd_config и ipfw 22 порт мне открывал, но неработало.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Снаружи не виден ssh"  
Сообщение от pastorius (ok) on 22-Июн-06, 06:06 
>Точно не знаю, но где то проскакивала инфа что многие провайдеры закрывают
>привелегированные порты, не все конечно, попробуй подправить конфиг sshd_config, открой дополнительно
>какой нибудь свободный порт выше 1024.
>Как то уезжал в отпуск столкнулся с такойже проблемой немог зайти по
>ssh, приехал перепроверил конфиги нормальные  и sshd_config и ipfw 22
>порт мне открывал, но неработало.


Да действительно провайдер мне 22 порт перекрыл, вопрос снимается.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру