Přístup "z venku" přes ADSL router

[mka]

Zdravím, mám možná blbej dotaz a jistě se tu již někde dávno řešilo, leč nemohu nic najít...

K internetu jsem přepojen přes ADSL router (či co to vlastně je) HUAWEI EchoLife HG520i. Připojeno 1x desktop ubuntu, 1x desktop widle a příležitostně 1x notebbok widle (přes wifi). Mám od Kyslíka přidělenu jednu ip adresu (asi pevnou, když je už roky pořád stejná, že?).
Kdybych se chtěl k některému z těch počítačů připojiz z venku, tak mám asi smolíka, že? Neboť přes toho EchoLajfa se asi nedostanu... Nebo se pletu?

[ufaak]

jde to, hledej v nastaveni neco jako virtual server nebo tak neco

[Tomáš Břinčil]

Potřebuješ forwardnout port.
- doma do prohlížeče na LANu → http://10.0.0.138
- login je snad defaultně admin/admin
- vlevo Basic → NAT
- zbytek nastavíš podle služby a IP adres


Návod přímo pro tvůj router: http://portforward.com/english/routers/port_forwarding/Huawei/EchoLife-HG520i/default.htm
Kyslíkatej manuál z techzony: http://www.cz.o2.com/public_conver/66/e0/21/114799_145816_huawei_echolife_hg520i_kompletni_manual.pdf

[mka]

Aha, aha.
No, do nastevení jsem už lezl, ale tohle jsem neznal (v síťařině jsem docela "nedotčenej").
Takže pokud tomu rozumím, tak mohu vždycky něco přesměrovat na jeden z těch počítačů, tedy např. kdybych chtěl povolit vzdálený přístup ke ploše jednoho znich, tak ano, ale totéž pro dva již nelze. Budiž...
Momentálně je tam nastaveno pouze to, že vše na portu 7547 se obsluhuje na adrese 10.0.0.138, tedy v té pixle. Jestli to dobře chápu, tak nic jiného zvenčí nikam dál neprojde, takže to vlastně funguje i jako jakýsi firewall, nebo ne?

[Tomáš Břinčil]

...

Ano, záleží na službě, doporučuju, používat netradiční porty pokud se nechceš vrtat v zabezpečení, vyhneš se zbytečnejm DoS útokům,
které můžou velmi zpomalit až zahltit router. (ano stávalo se mi to, než jsem přešel na lepší řešení než "plastovky" - aneb moje teorie o elektronice v plastu a plechu)

Pokud budeš chtít používat stejnou službu na dvou PC není nic jednoduššího než třeba zmíněnou vzdálenou plochu nastavit na jednom pc v LAN na portu 7547 a na druhém třeba 7548,
z venku budeš jednoduše po nastavení forwardování v routeru přistupovat veřejnáIP:7547 → první PC veřejnáIP:7548 → druhé PC.

Ano, NAT je jednoduchý "firewall", co nechceme aby se k nám dostalo z venku, tak se k nám v lepším případě nedostane. Složitější to je s hlidáním komunikace z LAN do WAN, kdy se může otevřít prakticky jakýkolov port nějakými backdoorovými programy.

[RNA]

|

K internetu jsem přepojen přes ADSL router (či co to vlastně je) HUAWEI EchoLife HG520i.

Mám přesně to samé.
To nastavení se jmenuje „Virtual server” v menu NAT.
Je třeba však nastavit pevné IP připojených počítačů, dále doporučuji změnit lokální subnet na něco jiného, defaultně tam je 10.0.0.0/24, přenastavte to třeba na 192.168.171.0/24 nebo 10.231.85.0/24 či tak nějak. To aby nenastal IP konflikt mezi vzdálenou sítí a tou vaší. Síť 10.0.0.0/24 je  docela profláknutá.
Pokud chcete zvenku na vzdálenou plochu, tak napřímo to ani nezkoušejte, jediné bezpečné řešení je použít VPN Nejlépe OpenVPN,  pokud v síťařině nejste moc pevný v kramflecích, tak pro domácí počítače se dá použít i Hamachi.
Jinak - pokud přímo redirektíte ven TCP port na wokenní mašině, tak počítejte s životností takového počítače nanejvýš týden (mám vyzkoušeno).

[Tomáš Břinčil]

...

Je třeba však nastavit pevné IP připojených počítačů, dále doporučuji změnit lokální subnet na něco jiného, defaultně tam je 10.0.0.0/24, přenastavte to třeba na 192.168.171.0/24 nebo 10.231.85.0/24 či tak nějak. To aby nenastal IP konflikt mezi vzdálenou sítí a tou vaší. Síť 10.0.0.0/24 je  docela profláknutá.

Můžete trochu přiblížit tento problém?
Z WANu se přes NAT překlad na LAN dostanu pouze pokud to je v pravidlech a pak je jedno jaká tam bude adresa, ne? Stejně z venku vidět není...
A konflikt nastat nemůže, protože 10.x.x.x je privátní/vyhrazená/interní IPna v Áčkovým rozsahu.

BTW: Ano, zapoměl jsem na platnost adres. Sice DHCPko těhle šuntíků drží IPny dost slušně.
Nejjednoduší ale bude v daném rozsahu nastavit adresu napevno na PC...

[mka]

Aha...!
Děkuji za informace, nicméně musím přiznat, že z toho nejsem o moc chytřejší, než před tím :-)
No, nevadí.
Původní idea byla dostat se vzdáleně na plochu nb a následně na něm pak na dálku něco dělat (práce, znáte to...). Abych pravdu řekl, ani nevím, jestli to ta xp vůbec umožňují, jestli není potřeba nějaká jiná edice (sám wokna nepoužívám). Ale jak tak na to koukám, asi by bylo nejrozumnější se na to raději vys... :-)

[RNA]

Můžete trochu přiblížit tento problém?
Z WANu se přes NAT překlad na LAN dostanu pouze pokud to je v pravidlech a pak je jedno jaká tam bude adresa, ne? Stejně z venku vidět není...
A konflikt nastat nemůže, protože 10.x.x.x je privátní/vyhrazená/interní IPna v Áčkovým rozsahu.

No vidíte, já už přemýšlím, že tam bude VPN, tudíž by mohl nastat konflikt mezi sítí klienta a domácí sítí tazatele. Například hojně se setkávám se sítí 192.168.1.0 / 24. A protože to máme ve firmě, tak je problém VPN do jiné firmy, která má tentýž rozsah.

[RNA]

Děkuji za informace, nicméně musím přiznat, že z toho nejsem o moc chytřejší, než před tím :-)
No, nevadí.

Vadí. pokud si chcete zaonačit takovéhle udělátko, budete muset si prostudovat jak funguje síť, TCP/IP, NAT, routing, VPN atd. na netu je dost materiálu.

Původní idea byla dostat se vzdáleně na plochu nb a následně na něm pak na dálku něco dělat (práce, znáte to...). Abych pravdu řekl, ani nevím, jestli to ta xp vůbec umožňují, jestli není potřeba nějaká jiná edice (sám wokna nepoužívám). Ale jak tak na to koukám, asi by bylo nejrozumnější se na to raději vys... :-)

Ta defekace je také řešení, ale myslím, že to zbytečně dramatizujete. Vzdálený přístup - to je přesně to, co chcete a co používá spousta lidí. Jen bych Vám nedoporučovat používat „vzdálenou plochu” Windows, ale normální VNC. Např já používám RealVNC . je kompatibilní napříč Windows-Linux a můžete si nastavit libovolný port TCP. Naproti tomu ta daleká plocha jede přes NetBIOSí porty, což je průser už jenom z hlediska zabezpečení. Navíc vám na cílovém počítači odhlásí aktuálního uživatele - to je skutečně vynález hodný Microsoftu! 
XPčka to samozřejmě umožňují a Linux také (alespoň mě to funguje).
Pokud s takovými věcmi nemáte zkušenosti, začněte nejprve s VNC na lokální sítí, pak si vyrobte doma VPNku (není to zcela triviální, ale pokud se budete držet návodu, mělo by se podařit.)
Kdyby byl problém, tak tady je fórum, ne?

[mka]

Díky za fundované poznámky.
Na VNC příležitostně mrknu a něco vyzkouším. Zatím všem dík...

[mka]

Tak už jsem tu zase.
Tedy, pro začátek bych zkusil RDP (když už to v sobě mají Widle samo s sebou). Předpokládám, že by mi tedy na ADSL routeru mělo stačit přesměrovat port 3389. Je to tak?

[Roman Vacho]

Tak už jsem tu zase.
Tedy, pro začátek bych zkusil RDP (když už to v sobě mají Widle samo s sebou). Předpokládám, že by mi tedy na ADSL routeru mělo stačit přesměrovat port 3389. Je to tak?

Pokud klient i server umožňují změnit port, je bezpečnější dát si nějaký nestandardní než výchozí.

Jinak si tu dáváte veřejnou pozvánku na šmejdili.

[mka]

Tak už jsem tu zase.
Tedy, pro začátek bych zkusil RDP (když už to v sobě mají Widle samo s sebou). Předpokládám, že by mi tedy na ADSL routeru mělo stačit přesměrovat port 3389. Je to tak?

Pokud klient i server umožňují změnit port, je bezpečnější dát si nějaký nestandardní než výchozí.

Jinak si tu dáváte veřejnou pozvánku na šmejdili.

No,
a) nemám dojem, že by tady z toho někde koukala moje beřejná ip adresa,
b) znám několik středně velkých firem, které se právě takhle standardně připojují k systému a stále žijí (taky mi to zpočátku přišlo divné a nebezpečné),
c) kromě lidí, kteří počítač ovládají, se možná budou muset připojit i někteří, pro které je problém i nové uspořádání nul v roce 2010, natož vybírat nějaké porty a nakonce
d) představa, že nějaká adresa čelí neustálým útokům robotů a scanerů portů a podobných potvor potenciálně méně než nějaká jiná, mi nepřipadá reálné.

Pokud mám výše uvedenou odpověď chápat jao "Ano, ale ...", tak děkuji, příležitostně to zkusím a podám zprávu. I s tou ipkou :-)

[Roman Vacho]

Tak už jsem tu zase.
Tedy, pro začátek bych zkusil RDP (když už to v sobě mají Widle samo s sebou). Předpokládám, že by mi tedy na ADSL routeru mělo stačit přesměrovat port 3389. Je to tak?

Pokud klient i server umožňují změnit port, je bezpečnější dát si nějaký nestandardní než výchozí.

Jinak si tu dáváte veřejnou pozvánku na šmejdili.

No,
a) nemám dojem, že by tady z toho někde koukala moje beřejná ip adresa,
b) znám několik středně velkých firem, které se právě takhle standardně připojují k systému a stále žijí (taky mi to zpočátku přišlo divné a nebezpečné),
c) kromě lidí, kteří počítač ovládají, se možná budou muset připojit i někteří, pro které je problém i nové uspořádání nul v roce 2010, natož vybírat nějaké porty a nakonce
d) představa, že nějaká adresa čelí neustálým útokům robotů a scanerů portů a podobných potvor potenciálně méně než nějaká jiná, mi nepřipadá reálné.

Pokud mám výše uvedenou odpověď chápat jao "Ano, ale ...", tak děkuji, příležitostně to zkusím a podám zprávu. I s tou ipkou :-)

VPNko standardně nastavuje správce sítě nebo na to nasmlouvaná firma. Veřejná Ti tu někde nekouká... ale záleží jak se chováš na internetu. Podle jistých kritérií jde krásně vysledovat určité bfu. čím neříkám, že mezi ně patříš. Já po ničem nepátrám

[RNA]

b) znám několik středně velkých firem, které se právě takhle standardně připojují k systému a stále žijí (taky mi to zpočátku přišlo divné a nebezpečné),
c) kromě lidí, kteří počítač ovládají, se možná budou muset připojit i někteří, pro které je problém i nové uspořádání nul v roce 2010, natož vybírat nějaké porty a nakonce
d) představa, že nějaká adresa čelí neustálým útokům robotů a scanerů portů a podobných potvor potenciálně méně než nějaká jiná, mi nepřipadá reálné.

Mohu Vám poslat svůj auth.log z sshd, to byste se divil. je to zhruba megabajt za 24 hodin.

Jan  5 03:36:20 MINIK sshd[26076]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:20 MINIK sshd[26076]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:23 MINIK sshd[26076]: Failed password for root from 77.79.101.194 port 44525 ssh2
Jan  5 03:36:24 MINIK sshd[26078]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:24 MINIK sshd[26078]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:25 MINIK sshd[26078]: Failed password for root from 77.79.101.194 port 44931 ssh2
Jan  5 03:36:26 MINIK sshd[26080]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:27 MINIK sshd[26080]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:29 MINIK sshd[26080]: Failed password for root from 77.79.101.194 port 45258 ssh2
Jan  5 03:36:30 MINIK sshd[26084]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:30 MINIK sshd[26084]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:32 MINIK sshd[26084]: Failed password for mail from 77.79.101.194 port 45641 ssh2
Jan  5 03:36:33 MINIK sshd[26086]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:33 MINIK sshd[26086]: Invalid user spammail from 77.79.101.194
Jan  5 03:36:33 MINIK sshd[26086]: pam_unix(sshd:auth): check pass; user unknown
Jan  5 03:36:33 MINIK sshd[26086]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:35 MINIK sshd[26086]: Failed password for invalid user spammail from 77.79.101.194 por
Jan  5 03:36:36 MINIK sshd[26090]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:36 MINIK sshd[26090]: Invalid user mailtest from 77.79.101.194
Jan  5 03:36:36 MINIK sshd[26090]: pam_unix(sshd:auth): check pass; user unknown
Jan  5 03:36:36 MINIK sshd[26090]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:37 MINIK sshd[26090]: Failed password for invalid user mailtest from 77.79.101.194 por
Jan  5 03:36:38 MINIK sshd[26092]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:38 MINIK sshd[26092]: Invalid user ip from 77.79.101.194
Jan  5 03:36:38 MINIK sshd[26092]: pam_unix(sshd:auth): check pass; user unknown
Jan  5 03:36:38 MINIK sshd[26092]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid
Jan  5 03:36:40 MINIK sshd[26092]: Failed password for invalid user ip from 77.79.101.194 port 4672
Jan  5 03:36:41 MINIK sshd[26094]: reverse mapping checking getaddrinfo for reverse-77-79-101-194.g
Jan  5 03:36:41 MINIK sshd[26094]: Invalid user ipbx from 77.79.101.194
Jan  5 03:36:41 MINIK sshd[26094]: pam_unix(sshd:auth): check pass; user unknown

A takhle to je furt.
Toto vesele narůstá: http://88.102.244.18/denied - to je můj aktuální /etc/hosts.deny

Další útoky se neustále dějí na Apache a FTP server. Neustálé pokusy o „uhádnutí” hesla. Dále pokusy o likvidaci soketu pomocí „half-open attack” (to se týká ale jen woken). Prostě internet je vysloveně nepřátelské prostředí.


Tak co, ještě chcete vystrčit tcp port na veřejnou IP?

Radím Vám dle svého nejlepšího lege artis: dálkový přístup jedině přes VPN.

[Tomáš Břinčil]

Uf, tak váš log je úctihodný, ze strachu jsem hned projel logy a co mě zarazilo, že jsem na veřejný IP na SHHčku jedinej kdo se přihlašuje (tři dny zpět).
Port mám nastavený, jiný, na první pohled vypadá jako webový, ale koho že by nikdo nezkusil port scanner?

[mka]

No, tak jsem to zprovoznil. Nejprve lokálně, poté i vzdáleně a šlo to hladce.
Co se týče gigalogu, s tím starost nemám - ta mašinka, ke který se bude přihlašovat, je nb s XP Widlema a rozhodně nepoběží dnem i nocí. A Widle, pokud se nepletu, takovýhle logy nedělají. Nebo snad ano?

[mka]

A ještě co se útoků a logů týče, hodně práce zřejmě udělá už ta placatá krabička:

Kód: [Vybrat]

1/6/2010 16:28:46> Last errorlog repeat 1 Times
1/6/2010 16:30:17> Firewall: Filter no port UDP packet!
1/6/2010 16:31:57> Firewall: Filter no port UDP packet!
1/6/2010 16:32:54> Firewall: Filter no port UDP packet!
1/6/2010 16:33:1> Last errorlog repeat 1 Times
1/6/2010 16:36:31> Firewall: Filter no port UDP packet!
1/6/2010 16:39:39> Firewall: Filter no port UDP packet!
1/6/2010 16:39:56> Last errorlog repeat 4 Times
1/6/2010 16:40:11> Firewall: Filter no port UDP packet!
1/6/2010 16:40:57> Firewall: Filter no port UDP packet!
1/6/2010 16:43:46> Firewall: Filter port scan attack!
1/6/2010 16:43:57> Firewall: Filter no port UDP packet!

[jura11]

Zdravím,

Pokud by jsi se chtěl připojovat z Windows na Windows, tak Ti stačí program Remote Administration, je už dokonce v češtině, ale zaplatíš za něj asi 1500Kč (nevím přesně). Ale používám ho už pár let a funguje skvěle. Ten nový, teď podporuje i tunel VPN, takže i počítač za firewalem se dá připojit.  A port i heslo si nastavíš sám, jaký chceš.

[mka]

Zdravím,

Pokud by jsi se chtěl připojovat z Windows na Windows, tak Ti stačí program Remote Administration, je už dokonce v češtině, ale zaplatíš za něj asi 1500Kč (nevím přesně). Ale používám ho už pár let a funguje skvěle. Ten nový, teď podporuje i tunel VPN, takže i počítač za firewalem se dá připojit.  A port i heslo si nastavíš sám, jaký chceš.

Děkuji za nabídku, ale uživatel se připojuje pouze z Ubuntu na Widle (a to jen proto, že onen program, o který jde, je veskrze widloidní) a platit za sw jsem si již také nějak odvykl.