The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не могу подключиться по SSH к серверу"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 19-Мрт-15, 12:23 
Доброго всем времени.
Имеется проблема, думая над которой сломал всю голову, посему теперь прошу помощи общественности.

Имеем:
Сервер на FreeBSD:
# uname -a
FreeBSD gate_mirvideo.mir-video.ru 9.2-RELEASE-p5 FreeBSD 9.2-RELEASE-p5 #1 r265947: Fri May 16 11:02:47 UTC 2014     nops@gate.mir-video.ru:/usr/obj/usr/src/sys/ROUTER  amd64


стоит 2 сетевки, одна смотри наружу, другая в локалку:
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
    ether 00:1d:7d:c2:70:70
    inet 192.168.4.1 netmask 0xffffff00 broadcast 192.168.4.255
    inet6 fe80::21d:7dff:fec2:7070%re0 prefixlen 64 scopeid 0x1
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=2008<VLAN_MTU,WOL_MAGIC>
    ether e8:de:27:a6:85:87
    inet Х.Х.Х.Х netmask 0xfffffffc broadcast Х.Х.Х.Y
    inet6 fe80::eade:27ff:fea6:8587%rl0 prefixlen 64 scopeid 0x7
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active

Далее:
# cat /etc/rc.conf
zfs_enable="YES"
hostname="gate"
defaultrouter="X.X.X.Y"
#################################
##### re0 - Local interface #####
##### rl0 - Inet interface  #####
#################################
ifconfig_rl0="inet Х.Х.Х.Х netmask 255.255.255.252"
ifconfig_re0="inet 192.168.4.1 netmask 255.255.255.0"
gateway_enable="YES"
firewall_enable="YES"
pf_enable="YES"
sshd_enable="YES"

# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
### Asterisk
rdr on rl0 proto { tcp, udp } from Y.Y.Y.Y to Х.Х.Х.Х port 5060 -> 192.168.4.254 port 5060
rdr on rl0 proto { tcp, udp } from any to Х.Х.Х.Х7 port 10000:20000 -> 192.168.4.254
rdr on rl0 proto { tcp, udp } from any to Х.Х.Х.Х port 9090 -> 192.168.4.254 port 9090
### HTTP
rdr on rl0 proto { tcp, udp } from any to Х.Х.Х.Х port 80 -> 192.168.4.26 port 80
### RDP
rdr on rl0 proto { tcp, udp } from any to Х.Х.Х.Х port 3389 -> 192.168.4.26 port 3389
### NAT
nat pass on rl0 from 192.168.4.0/24 to any -> rl0
pass all

# ipfw list
00010 check-state
00100 deny ip from table(1) to any
00101 deny ip from any to table(1)
10000 allow ip from any to any
65535 deny ip from any to any

В table(1) закинуты забвенные IP(моего в этом списке нет)

Если я подключаюсь на внутренний IP, из локальной сети:
ssh 192.168.4.1 -l user
То соединение проходит и я попадаю на сервер, а вот если я подключаюсь на белый IP снаружи:
ssh X.X.X.X -l user
то получаю вот такой ответ:
ssh: connect to host 94.230.138.87 port 22: Operation timed out

Подскажите коллеги, куда можно еще заглянуть, чтобы эту беду исправить.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не могу подключиться по SSH к серверу"  +/
Сообщение от universite email(ok) on 19-Мрт-15, 14:17 
> Доброго всем времени.
> Имеется проблема, думая над которой сломал всю голову, посему теперь прошу помощи
> общественности.
> Имеем:
> Сервер на FreeBSD:
> # uname -a
> FreeBSD gate_mirvideo.mir-video.ru 9.2-RELEASE-p5 FreeBSD 9.2-RELEASE-p5 #1 r265947:
> Fri May 16 11:02:47 UTC 2014     nops@gate.mir-video.ru:/usr/obj/usr/src/sys/ROUTER
>  amd64
> Подскажите коллеги, куда можно еще заглянуть, чтобы эту беду исправить.

Покажите вывод


sockstat | grep ssh

А потом в руки tcpdump и изучайте пакетики с 22 порта.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 19-Мрт-15, 14:44 
>[оверквотинг удален]
>> # uname -a
>> FreeBSD gate_mirvideo.mir-video.ru 9.2-RELEASE-p5 FreeBSD 9.2-RELEASE-p5 #1 r265947:
>> Fri May 16 11:02:47 UTC 2014     nops@gate.mir-video.ru:/usr/obj/usr/src/sys/ROUTER
>>  amd64
>> Подскажите коллеги, куда можно еще заглянуть, чтобы эту беду исправить.
> Покажите вывод
>
 
> sockstat | grep ssh
>

> А потом в руки tcpdump и изучайте пакетики с 22 порта.

# sockstat | grep ssh
nops     sshd       89219 3  tcp4   192.168.4.1:22     192.168.0.222:49161
nops     sshd       89219 4  stream -> ??
nops     sshd       89219 6  stream -> /var/db/samba/winbindd_privileged/pipe
root     sshd       89217 3  tcp4   192.168.4.1:22     192.168.0.222:49161
root     sshd       89217 5  stream -> ??
root     sshd       89217 6  stream -> /var/db/samba/winbindd_privileged/pipe
nops     sshd       86624 3  tcp4   192.168.4.1:22     192.168.0.222:57458
nops     sshd       86624 4  stream -> ??
nops     sshd       86624 6  stream -> /var/db/samba/winbindd_privileged/pipe
root     sshd       86622 3  tcp4   192.168.4.1:22     192.168.0.222:57458
root     sshd       86622 5  stream -> ??
root     sshd       86622 6  stream -> /var/db/samba/winbindd_privileged/pipe
root     sshd       3650  3  tcp4   *:22               *:*
root     sshd       3650  4  stream -> /var/db/samba/winbindd_privileged/pipe


И вот что TCPDUMP дал:
# tcpdump -i rl0 port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:42:53.748888 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713922765 ecr 0,sackOK,eol], length 0
11:42:54.749451 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713923765 ecr 0,sackOK,eol], length 0
11:42:55.750491 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713924765 ecr 0,sackOK,eol], length 0
11:42:56.752237 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713925765 ecr 0,sackOK,eol], length 0
11:42:57.752784 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713926765 ecr 0,sackOK,eol], length 0
11:42:58.758353 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713927765 ecr 0,sackOK,eol], length 0
11:43:00.764915 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713929765 ecr 0,sackOK,eol], length 0
11:43:04.790242 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,sackOK,eol], length 0
11:43:12.802301 IP Z.Z.Z.Z.57201 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898, win 65535, options [mss 1460,sackOK,eol], length 0
^C
9 packets captured
9768 packets received by filter
0 packets dropped by kernel

Как бы пакеты прилетают, но вот что происходит дальше...

Еще есть вот такой вывод:
# tcpdump -v -i rl0 port 22
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:46:19.243356 IP (tos 0x0, ttl 56, id 49883, offset 0, flags [DF], proto TCP (6), length 64)
    Z.Z.Z.Z.60330 > Х-Х-Х-Х.vi-line.ru.22: Flags [S], cksum 0xe955 (correct), seq 857890313, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 714127469 ecr 0,sackOK,eol], length 0

# tcpdump -vv -i rl0 port 22
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:46:30.307170 IP (tos 0x0, ttl 56, id 52294, offset 0, flags [DF], proto TCP (6), length 48)
    Z.Z.Z.Z.60330 > Х-Х-Х-Х.vi-line.ru.22: Flags [S], cksum 0x1977 (correct), seq 857890313, win 65535, options [mss 1460,sackOK,eol], length 0

# tcpdump -vvv -i rl0 port 22
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:47:41.685098 IP (tos 0x0, ttl 56, id 59475, offset 0, flags [DF], proto TCP (6), length 64)
    Z.Z.Z.Z.60959 > X-X-X-X.vi-line.ru.22: Flags [S], cksum 0xb1f5 (correct), seq 3012678025, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 714209639 ecr 0,sackOK,eol], length 0

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не могу подключиться по SSH к серверу"  +/
Сообщение от Andrey Mitrofanov on 19-Мрт-15, 14:54 
>[оверквотинг удален]
> listening on rl0, link-type EN10MB (Ethernet), capture size 65535 bytes
> 11:42:53.748888 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898,
> win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713922765 ecr 0,sackOK,eol],
> length 0
> 11:42:54.749451 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898,
> win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713923765 ecr 0,sackOK,eol],
> length 0
> 11:42:55.750491 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898,
> win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713924765 ecr 0,sackOK,eol],
> length 0

"дай ответ. Не дает ответа." --Н.В.Гоголь

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 19-Мрт-15, 14:58 
>[оверквотинг удален]
>> 11:42:53.748888 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898,
>> win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713922765 ecr 0,sackOK,eol],
>> length 0
>> 11:42:54.749451 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898,
>> win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713923765 ecr 0,sackOK,eol],
>> length 0
>> 11:42:55.750491 IP Z.Z.Z.Z.52169 > X-X-X-X.vi-line.ru.22: Flags [S], seq 3626823898,
>> win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 713924765 ecr 0,sackOK,eol],
>> length 0
> "дай ответ. Не дает ответа." --Н.В.Гоголь

Т.е. вы хотите сказать, что я запрашиваю ответ, а ssh-сервер мне не отвечает?!
Тогда вот конфиг:
# cat /etc/ssh/sshd_config | grep -v "^#"
Port 22
ListenAddress 0.0.0.0
Protocol 2
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    .ssh/authorized_keys
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Subsystem    sftp    /usr/libexec/sftp-server

# ps ax | grep sshd
3650 ??  Is       0:00,01 /usr/sbin/sshd

Вот я и не могу понят, потому пришел сюда за помощью.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не могу подключиться по SSH к серверу"  +/
Сообщение от universite email(ok) on 19-Мрт-15, 15:03 

> Т.е. вы хотите сказать, что я запрашиваю ответ, а ssh-сервер мне не
> отвечает?!

Именно.

Покажите еще


cat /etc/hosts.allow
cat ~user/.ssh/config
cat /root/.ssh/config

Почитайте на досуге /var/log/auth.log
И проверьте tcpdump не внешний интерфейс, а локалхост.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 19-Мрт-15, 15:15 
>[оверквотинг удален]
>> отвечает?!
> Именно.
> Покажите еще
>
 
> cat /etc/hosts.allow
> cat ~user/.ssh/config
> cat /root/.ssh/config
>

> Почитайте на досуге /var/log/auth.log
> И проверьте tcpdump не внешний интерфейс, а локалхост.

# cat /etc/hosts.allow | grep -v "^#"
ALL : ALL : allow
ALL : PARANOID : RFC931 20 : deny
ALL : localhost 127.0.0.1 : allow
ALL : [::1] : allow
sendmail : localhost : allow
sendmail : ALL : allow
exim : localhost : allow
exim : ALL : allow
rpcbind : ALL : deny
ypserv : localhost : allow
ypserv : ALL : deny
ftpd : localhost : allow
ftpd : ALL : allow
fingerd : ALL \
    : spawn (echo Finger. | \
     /usr/bin/mail -s "tcpd\: %u@%h[%a] fingered me!" root) & \
    : deny
ALL : ALL \
    : severity auth.info \
    : twist /bin/echo "You are not welcome to use %d from %h."

в .ssh нет файла config.

А в /var/log/auth.log нет ничего интересного, кроме как подключения пользователя, когда я подключаюсь к внутреннему IP

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Не могу подключиться по SSH к серверу"  +/
Сообщение от universite email(ok) on 19-Мрт-15, 15:23 

>> И проверьте tcpdump не внешний интерфейс, а локалхост.

И проверьте tcpdump не внешний интерфейс, а локалхост
А потом выясняйте, откуда у вас mtu|mss 1460

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 19-Мрт-15, 15:28 
>>> И проверьте tcpdump не внешний интерфейс, а локалхост.
> И проверьте tcpdump не внешний интерфейс, а локалхост
> А потом выясняйте, откуда у вас mtu|mss 1460

# tcpdump -i lo0 port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 65535 bytes

молчит.
Может я не правильно понимаю что уже сделать.
а mtu 1460 у меня от VPN-а, поднятого до центрального офиса.
Центральный офис ifconfig:
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
    inet 192.168.10.1 --> 192.168.10.14 netmask 0xffffffff
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

на сервере:
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400
    inet 192.168.10.14 --> 192.168.10.1 netmask 0xffffffff
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Не могу подключиться по SSH к серверу"  +/
Сообщение от universite email(ok) on 19-Мрт-15, 15:37 
>>> И проверьте tcpdump не внешний интерфейс, а локалхост.
> И проверьте tcpdump не внешний интерфейс, а локалхост
> А потом выясняйте, откуда у вас mtu|mss 1460

Cделайте с самого сервера:


ssh 94.230.138.87

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 19-Мрт-15, 15:39 
>>>> И проверьте tcpdump не внешний интерфейс, а локалхост.
>> И проверьте tcpdump не внешний интерфейс, а локалхост
>> А потом выясняйте, откуда у вас mtu|mss 1460
> Cделайте с самого сервера:
>
 
> ssh 94.230.138.87
>

с самого все ок.
# ssh 94.230.138.87
The authenticity of host '[94.230.138.87]:22 ([94.230.138.87]:22)' can't be established.
ECDSA key fingerprint is 9e:89:a0:25:b6:8d:88:23:f2:e7:7f:5c:33:53:e7:6c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[94.230.138.87]:22' (ECDSA) to the list of known hosts.
Permission denied (publickey,gssapi-with-mic).

P.S. Спалил таки адрес:D ну и ладно:)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Не могу подключиться по SSH к серверу"  +/
Сообщение от universite email(ok) on 19-Мрт-15, 16:29 

> с самого все ок.

Вырубайте оба firewall, скорее всего проблема в PF

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Не могу подключиться по SSH к серверу"  +/
Сообщение от nops email(ok) on 20-Мрт-15, 06:26 
>> с самого все ок.
> Вырубайте оба firewall, скорее всего проблема в PF

Наврятли. У меня еще на 3-х серверах та же схема прекрасно работает и мне нужно именно PF, и ipfw.
Не спрашивайте почему. К тому же:
pass all в pf.conf и ipfw add allow ip from any to any открывают оба фаервола....
ядерный нат использовать не получится, так же как и natd

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Не могу подключиться по SSH к серверу"  +/
Сообщение от Аноним (??) on 19-Мрт-15, 20:39 
>> Cделайте с самого сервера: ssh 94.230.138.87
> с самого все ок.

Нет - надо с самого на свой же внешний IP (X.X.X.X)
Ибо! У тебя походу стандартый кидон - покет изнутря NAT-ится и потом уже ...

А вообще сразу два фаерволла даже Йода мастер не гоняет, хотя у него экстириенс во фреебздд 100500 лет :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру