Изпечатай

[wwwevecom]

Здравейте , сложих на две машини с реални IP-та Слак 9.1
 На единия РС1 не мога да вляза по ssh от външната мрежа. Настройките ,които допълнително съм му добавял са в /etc/rc.d/rc.local :
  #маскиране
  iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
 #счетоводство
  iptables -i eth1 -d 192.168.0.2
  iptables -i 192.168.0.2 -d eth1
  #защити от Ръсти в "Пакет филтеринг"
  iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
  iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
  iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    Пробвах като добавя в конзолата на РС1 ,без рестарт:
 iptables -A INPUT -s realnoto_IP_na_drugiq -j ACCEPT
 
    Същ0 добавих IP-to  в /etc/ssh/ssh_config  ,рестарт на скрипта и пак не мога да вляза в PС1 .Нещо изпускам...


                       Благодаря за вниманието

[zeridon]

1) дай поне част от тоя конфиг
2) поприказвай си с доставчиците да не би случайно някой да се прави на мъж и да те е покрил
3) А каква грешка дава??

[__eve__]

към 1)В /etc/sshd_conf долу в listenAddress добавих IP -обаче при рестарт на скрипта дава грешка

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0 -това е за вътрешната мрежа
#ListenAddress ::
(аз добавих тук IP-to на другия -РС2)

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768......

  2)И двете машини са в една мрежа с реални адреси ,от РС1-> РС2 влизам с ssh,обратно не

  3)това е съобщението ssh_exchange_identification: Connection closed by remote host

[wwwevecom]

горният отговор е от мен

[zeridon]

така ... по мои подозрения а и доста други наблюдения listen_adress определя на кое IP/NIC да слуша дадена услуга. Тоест имаш 2 ланки и на едната искаш да има хттп а на другата фтп и посредством тая директива ги вързваш на адрес ... така че това което си направил ефективно ти ебава майката '>

махни го това от там и го остави по дефаулт както е
#Protocol 2,1 --това го откоментирай

Прегледай останалите конфигове на ПЦ1 да не би случайно ИПто на ПЦ2 да е набананено абе просто мисли логично ...

Не е лошо временно да дигнеш debug_level-а на ssh та да видиш дали случайно няма да изтплюе нещо.

прегледай и файловете .knownhosts в директорията на юзера с който се логваш и ако случайно другия хост съществува го делни (с оглед на факта че може да си генерирал нов keypair)

Е толкова от мен ... за сега идеите ми свършиха ...

ПП: ако искаш да ограничаваш SSH по добре го направи рпез iptables/inetd/xinetd/tcpwrappers и не е лошо да забраниш на root да се логва директно (нека му се налага да мине през редовен юзер, осават повече следи от поразиите му)

А този ред изпълнен на РС1 не би ли трябвало да допусне РС2 в РС1

  iptables -A INPUT -s realnoto_IP_na_РС2 -j ACCEPT

 Или може би по добре ли е да го сложа в rc.local da go zaredi при старта?
  Също така сложих в /etc/rc.d/rc.local :
   iptables -A FORWARD -s realnoto_IP_na_РС2 -d IP_PC1 -j ACCEPT
нищо

[zeridon]

FORWARD е за рутинг
с INPUT би трябвало да стане но проблема едва ли е точно от това ... може би нямаш рутинг между двата компа