Не пускает по ssh снаружи

FreeBSD, NetBSD, OpenBSD, DragonFly и т. д.

Модератор: arachnid

Ответить
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Не пускает по ssh снаружи

Сообщение kerogaz »

FreeBSD 10
Я сменил порт ssh на 2954. Из локальной сети пускает если прописать

Код: Выделить всё

ssh -p 2954 имя@белый ip

А из интернета не пускает

Мои правила ipfw

Код: Выделить всё

#!/bin/sh -

fwcmd="/sbin/ipfw"
${fwcmd} -f flush
${fwcmd} -f queue flush
${fwcmd} -f pipe flush
${fwcmd} table all flush
${fwcmd} nat 1 delete

# VAR
if_inet="em0"
if_lan="em1"
ssh="2954"

# Local
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any

# ssh
${fwcmd} add allow tcp from any to any ${ssh} via ${if_lan}
${fwcmd} add allow tcp from any ${ssh} to any via ${if_lan}
${fwcmd} add allow tcp from any to any ${ssh} via ${if_inet}
${fwcmd} add allow tcp from any ${ssh} to any via ${if_inet}


# NAT
${fwcmd} nat 1 config if ${if_inet} same_ports reset log
${fwcmd} add nat 1 ip from "table(0)" to any out via ${if_inet}
${fwcmd} add nat 1 ip from any to any in via ${if_inet}

# any
${fwcmd} add allow ip from any to any
${fwcmd} table 0 add 10.44.1.1/24
${fwcmd} table 0 add 10.44.2.1/24
${fwcmd} table 0 add 10.44.3.1/24
${fwcmd} table 0 add 10.44.4.1/24

${fwcmd} add allow tcp from any to any 80
${fwcmd} add allow tcp from any to any 2954
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

Код: Выделить всё

ipfw show
00100     0        0 allow ip from any to any via lo0
00200     0        0 deny ip from any to 127.0.0.0/8
00300     0        0 deny ip from 127.0.0.0/8 to any
00400    81     6616 allow tcp from any to any dst-port 2954 via em1
00500    64     8968 allow tcp from any 2954 to any via em1
00600     0        0 allow tcp from any to any dst-port 2954 via em0
00700     0        0 allow tcp from any 2954 to any via em0
00800 19047  2795630 nat 1 ip from table(0) to any out via em0
00900 23945 21304852 nat 1 ip from any to any in via em0
01000 44233 24229583 allow ip from any to any
01100     0        0 allow tcp from any to any dst-port 80
01200     0        0 allow tcp from any to any dst-port 2954
01300     0        0 allow tcp from any to any dst-port 2954 in out
65535     0        0 deny ip from any to any

Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

Я закоментарил в /etc/rc.conf строку скрипта правил, сделал firewall_type="OPEN"
Всё равно не пускает
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

Код: Выделить всё

netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.44.1.1.45817        10.44.2.58.http        TIME_WAIT
tcp4       0      0 name.2954  10.44.4.201.36741      ESTABLISHED
tcp4       0      0 *.2954                 *.*                    LISTEN
tcp6       0      0 *2954                 *.*                    LISTEN
tcp4       0      0 namei.4000  *.*                    LISTEN
tcp4       0      0 name.http  *.*                    LISTEN
tcp4       0      0 localhost.rndc         *.*                    LISTEN
tcp4       0      0 *.domain               *.*                    LISTEN
tcp4       0      0 10.44.1.1.domain       *.*                    LISTEN
udp4       0      0 *.syslog               *.*
udp6       0      0 *.syslog               *.*
udp4       0      0 *.domain               *.*
udp4       0      0 10.44.1.1.domain       *.*
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
fffff800307285a0 stream      0      0        0 fffff80030728690        0        0
fffff80030728690 stream      0      0        0 fffff800307285a0        0        0
fffff8003072c780 stream      0      0        0 fffff8003072c870        0        0
fffff8003072c870 stream      0      0        0 fffff8003072c780        0        0
fffff800307305a0 stream      0      0 fffff80030162938        0        0        0 /var/run/devd.pipe
fffff80030728780 dgram       0      0        0 fffff80030728a50        0        0
fffff80030728a50 dgram       0      0 fffff80030191b10        0 fffff80030728780        0 /var/run/logpriv
fffff80030728b40 dgram       0      0 fffff80030191ce8        0        0        0 /var/run/log
fffff800307304b0 seqpac      0      0 fffff80030162760        0        0        0 /var/run/devd.seqpacket.pipe
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

Сменил в sshd_config 2954 на родной 22 - пускает
Что за фигня?
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

Прописал другой порт-пускает без проблем. Ребус. Причем у меня на CentOS с этим портом была та же проблема, сначала он работал а потом не работал. Приходилось другим портом пользоваться
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает по ssh снаружи

Сообщение Bizdelnick »

Может, есть смысл поинтересоваться у техподдержки провайдера?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

Bizdelnick писал(а):
29.05.2015 13:55
Может, есть смысл поинтересоваться у техподдержки провайдера?

Да мне всё равно какой-порт, лишь бы не 22 : там валят китайцы с генераторами паролей с частотой обращения 2 сек, так что не буду париться. Я правда на Сентосе отбивался с помощью fail2ban . но проще порт сменить
Спасибо сказали:
Аватара пользователя
arachnid
Модератор
Сообщения: 1099
ОС: freeBSD

Re: Не пускает по ssh снаружи

Сообщение arachnid »

судя по всему, порт неудачно был выбран :)

это порт использует HP OpenView Network Node Manager - видимо поэтому и зарезан
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Спасибо сказали:
lazhu
Сообщения: 70
ОС: FreeBSD 9-STABLE / clang 3.3
Контактная информация:

Re: Не пускает по ssh снаружи

Сообщение lazhu »

Смена порта от китайцев не спасет. Не оставляйте дыры в виде ssh, осильте openvpn
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает по ssh снаружи

Сообщение Bizdelnick »

lazhu писал(а):
01.06.2015 09:45
Не оставляйте дыры в виде ssh, осильте openvpn

Чем же openvpn безопаснее ssh? И почему ssh — дыра? Дыра — это когда ssh с аутентификацией по паролю и юзером test/test.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает по ssh снаружи

Сообщение kerogaz »

А с портами какая-то жесть. Порт 3954 тоже поработал примерно неделю на ssh и сегодня приказал долго жить снаружи. (Timed out) хотя логи ничего не показывают . Перешел пока на порт 11111, но это не выход из положения :) . Received signal 15; terminating. - это мне ждать надоело


Код: Выделить всё

Jun  3 07:45:26 sprinter sshd[30142]: Server listening on :: port 3954.
Jun  3 07:45:26 sprinter sshd[30142]: Server listening on 0.0.0.0 port 3954.
Jun  3 07:45:47 sprinter sshd[30142]: Received signal 15; terminating.
Jun  3 07:46:39 sprinter sshd[651]: Server listening on :: port 3954.
Jun  3 07:46:39 sprinter sshd[651]: Server listening on 0.0.0.0 port 3954.
Jun  3 07:48:07 sprinter sshd[651]: Received signal 15; terminating.
Jun  3 07:48:07 sprinter sshd[766]: Server listening on :: port 11111.
Jun  3 07:48:07 sprinter sshd[766]: Server listening on 0.0.0.0 port 11111.
Jun  3 07:48:42 sprinter sshd[767]: Accepted keyboard-interactive/pam for sprinter from xxxxxxxx  port 35812 ssh2
Jun  3 07:48:54 sprinter su: sprinter to root on /dev/pts/0
Jun  3 07:57:40 sprinter sshd[637]: Server listening on :: port 11111.
Jun  3 07:57:40 sprinter sshd[637]: Server listening on 0.0.0.0 port 11111.
Спасибо сказали:
Аватара пользователя
arachnid
Модератор
Сообщения: 1099
ОС: freeBSD

Re: Не пускает по ssh снаружи

Сообщение arachnid »

lazhu писал(а):
01.06.2015 09:45
Смена порта от китайцев не спасет. Не оставляйте дыры в виде ssh, осильте openvpn


ssh - дыра?

боюсь, что с таким знанием матчасти любое по будет представлять опасность :)
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Спасибо сказали:
Аватара пользователя
arachnid
Модератор
Сообщения: 1099
ОС: freeBSD

Re: Не пускает по ssh снаружи

Сообщение arachnid »

kerogaz писал(а):
03.06.2015 08:08
А с портами какая-то жесть. Порт 3954 тоже поработал примерно неделю на ssh и сегодня приказал долго жить снаружи. (Timed out) хотя логи ничего не показывают . Перешел пока на порт 11111, но это не выход из положения :) . Received signal 15; terminating. - это мне ждать надоело


Код: Выделить всё

Jun  3 07:45:26 sprinter sshd[30142]: Server listening on :: port 3954.
Jun  3 07:45:26 sprinter sshd[30142]: Server listening on 0.0.0.0 port 3954.
Jun  3 07:45:47 sprinter sshd[30142]: Received signal 15; terminating.
Jun  3 07:46:39 sprinter sshd[651]: Server listening on :: port 3954.
Jun  3 07:46:39 sprinter sshd[651]: Server listening on 0.0.0.0 port 3954.
Jun  3 07:48:07 sprinter sshd[651]: Received signal 15; terminating.
Jun  3 07:48:07 sprinter sshd[766]: Server listening on :: port 11111.
Jun  3 07:48:07 sprinter sshd[766]: Server listening on 0.0.0.0 port 11111.
Jun  3 07:48:42 sprinter sshd[767]: Accepted keyboard-interactive/pam for sprinter from xxxxxxxx  port 35812 ssh2
Jun  3 07:48:54 sprinter su: sprinter to root on /dev/pts/0
Jun  3 07:57:40 sprinter sshd[637]: Server listening on :: port 11111.
Jun  3 07:57:40 sprinter sshd[637]: Server listening on 0.0.0.0 port 11111.


оригинально. но вариантов у меня нет... :(
я правильно понимаю, что коннект при 15 сигнале шел снаружи?
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Спасибо сказали:
Ответить