Титла: ssh при Slack 9.1
Публикувано от: wwwevecom в Oct 13, 2004, 19:01
Здравейте , сложих на две машини с реални IP-та Слак 9.1
На единия РС1 не мога да вляза по ssh от външната мрежа. Настройките ,които допълнително съм му добавял са в /etc/rc.d/rc.local :
#маскиране
iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
#счетоводство
iptables -i eth1 -d 192.168.0.2
iptables -i 192.168.0.2 -d eth1
#защити от Ръсти в "Пакет филтеринг"
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
Пробвах като добавя в конзолата на РС1 ,без рестарт:
iptables -A INPUT -s realnoto_IP_na_drugiq -j ACCEPT
Същ0 добавих IP-to в /etc/ssh/ssh_config ,рестарт на скрипта и пак не мога да вляза в PС1 .Нещо изпускам...
Благодаря за вниманието
На единия РС1 не мога да вляза по ssh от външната мрежа. Настройките ,които допълнително съм му добавял са в /etc/rc.d/rc.local :
#маскиране
iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
#счетоводство
iptables -i eth1 -d 192.168.0.2
iptables -i 192.168.0.2 -d eth1
#защити от Ръсти в "Пакет филтеринг"
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
Пробвах като добавя в конзолата на РС1 ,без рестарт:
iptables -A INPUT -s realnoto_IP_na_drugiq -j ACCEPT
Същ0 добавих IP-to в /etc/ssh/ssh_config ,рестарт на скрипта и пак не мога да вляза в PС1 .Нещо изпускам...
Благодаря за вниманието
Титла: ssh при Slack 9.1
Публикувано от: zeridon в Oct 13, 2004, 20:02
1) дай поне част от тоя конфиг
2) поприказвай си с доставчиците да не би случайно някой да се прави на мъж и да те е покрил
3) А каква грешка дава??
2) поприказвай си с доставчиците да не би случайно някой да се прави на мъж и да те е покрил
3) А каква грешка дава??
Титла: ssh при Slack 9.1
Публикувано от: __eve__ в Oct 13, 2004, 22:23
към 1)В /etc/sshd_conf долу в listenAddress добавих IP -обаче при рестарт на скрипта дава грешка
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0 -това е за вътрешната мрежа
#ListenAddress ::
(аз добавих тук IP-to на другия -РС2)
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768......
2)И двете машини са в една мрежа с реални адреси ,от РС1-> РС2 влизам с ssh,обратно не
3)това е съобщението ssh_exchange_identification: Connection closed by remote host
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0 -това е за вътрешната мрежа
#ListenAddress ::
(аз добавих тук IP-to на другия -РС2)
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768......
2)И двете машини са в една мрежа с реални адреси ,от РС1-> РС2 влизам с ssh,обратно не
3)това е съобщението ssh_exchange_identification: Connection closed by remote host
Титла: ssh при Slack 9.1
Публикувано от: wwwevecom в Oct 13, 2004, 22:36
горният отговор е от мен
Титла: ssh при Slack 9.1
Публикувано от: zeridon в Oct 13, 2004, 23:24
така ... по мои подозрения а и доста други наблюдения listen_adress определя на кое IP/NIC да слуша дадена услуга. Тоест имаш 2 ланки и на едната искаш да има хттп а на другата фтп и посредством тая директива ги вързваш на адрес ... така че това което си направил ефективно ти ебава майката 
махни го това от там и го остави по дефаулт както е
#Protocol 2,1 --това го откоментирай
Прегледай останалите конфигове на ПЦ1 да не би случайно ИПто на ПЦ2 да е набананено абе просто мисли логично ...
Не е лошо временно да дигнеш debug_level-а на ssh та да видиш дали случайно няма да изтплюе нещо.
прегледай и файловете .knownhosts в директорията на юзера с който се логваш и ако случайно другия хост съществува го делни (с оглед на факта че може да си генерирал нов keypair)
Е толкова от мен ... за сега идеите ми свършиха ...
ПП: ако искаш да ограничаваш SSH по добре го направи рпез iptables/inetd/xinetd/tcpwrappers и не е лошо да забраниш на root да се логва директно (нека му се налага да мине през редовен юзер, осават повече следи от поразиите му)
махни го това от там и го остави по дефаулт както е
#Protocol 2,1 --това го откоментирай
Прегледай останалите конфигове на ПЦ1 да не би случайно ИПто на ПЦ2 да е набананено абе просто мисли логично ...
Не е лошо временно да дигнеш debug_level-а на ssh та да видиш дали случайно няма да изтплюе нещо.
прегледай и файловете .knownhosts в директорията на юзера с който се логваш и ако случайно другия хост съществува го делни (с оглед на факта че може да си генерирал нов keypair)
Е толкова от мен ... за сега идеите ми свършиха ...
ПП: ако искаш да ограничаваш SSH по добре го направи рпез iptables/inetd/xinetd/tcpwrappers и не е лошо да забраниш на root да се логва директно (нека му се налага да мине през редовен юзер, осават повече следи от поразиите му)
Титла: ssh при Slack 9.1
Публикувано от: в Oct 15, 2004, 10:05
А този ред изпълнен на РС1 не би ли трябвало да допусне РС2 в РС1
iptables -A INPUT -s realnoto_IP_na_РС2 -j ACCEPT
Или може би по добре ли е да го сложа в rc.local da go zaredi при старта?
Също така сложих в /etc/rc.d/rc.local :
iptables -A FORWARD -s realnoto_IP_na_РС2 -d IP_PC1 -j ACCEPT
нищо
iptables -A INPUT -s realnoto_IP_na_РС2 -j ACCEPT
Или може би по добре ли е да го сложа в rc.local da go zaredi при старта?
Също така сложих в /etc/rc.d/rc.local :
iptables -A FORWARD -s realnoto_IP_na_РС2 -d IP_PC1 -j ACCEPT
нищо
Титла: ssh при Slack 9.1
Публикувано от: zeridon в Oct 15, 2004, 14:34
FORWARD е за рутинг
с INPUT би трябвало да стане но проблема едва ли е точно от това ... може би нямаш рутинг между двата компа
с INPUT би трябвало да стане но проблема едва ли е точно от това ... може би нямаш рутинг между двата компа