Iptables

[On]

Z práce bych se chtěl připojovat domů přes ssh. Mám veřejnou IP, mám povolený port 22/TCP. I přesto se nepřipojím...není nutné něco nastavit v FW?? Výpis iptables:

Kód: [Vybrat]

ladik@ladik:/usr/share/man$ sudo iptables -L -v
[sudo] password for ladik:
Chain INPUT (policy ACCEPT 103 packets, 9488 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 63 packets, 104K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Nevím, jestli chápu správně, ale řekl bych, že je snad všechno povolené :-) Od instalace jsem s iptables nic nedělal, ale ani mě to nikdy nenutilo, problémy žádné nenastaly..chyba bude tedy jinde?

[pousteVnik]

Ahoj,
v iptables vypada ze nemas nic zakazano(coz nevim jestli je moudre)
zkus v praci skenovat jaky porty mas otevrene na te verejne IP
prikaz "nmap ip"
tim poznas jestli je problem v blokovani portu, nebo v nastaveni ssh.
To mě napada, vím že je to hloupost ale pro jistotu, mas nainstalovany ssh server?

[plusik]

No a když napíšeš to ssh login@adresa

co to vypíše??

[On]

Po pokus o přihlášení na ssh to napíše něco jako "connection refused"...takže cíl předpokládám našel, ale nemohl se s ním spojit...pač pokud by cíl vůbec neexistoval, napíše to:

Kód: [Vybrat]

ladik@ladik:~$ ssh ladik@192.168.130.20
ssh: connect to host 192.168.130.20 port 22: No route to host
 
nmapem jsem už své IP projet zkoušel, výpis:

Kód: [Vybrat]


ladik@ladik:~$ nmap -PN -p T:ssh 95.82.137.171

Starting Nmap 4.76 ( http://nmap.org ) at 2009-10-21 07:37 CEST
Interesting ports on ip4-95-82-137-171.cust.nbox.cz (95.82.137.171):
PORT   STATE    SERVICE
22/tcp filtered ssh

Nevím, přesně, co znamená "filtered", ale napadá mě, že našel, že tento port otevřený je, ale je filtrované jen pro nějaké IP...pač jen já na lokální domácí síti mám povolené SSH, ostatní ne. Což myslím, že by mohlo být v pořádku..ssh samozřejmě nainstalováno mám :-)

Psal jsem tady problém s otevřením portů pod protokolem UDP. TCP router vždy pustil, UDP ne...po hodně dlouhém bádání jsem přišel na to, že to nepustil FW na mém vlastním PC :-) Jedná se o systém Win XP, kde zakládám server pro Counter-Strike...to se tedy vyřešilo vypnutím FW na mém PC. Proto jsem založil tohle vlákno, pač mám za to, že nastavení na routeru bude v pořádku a musí se něco nastavit ještě v Ubuntu, v Ubuntu bych rád používal ssh a ftp

[oyankee]

Vypada to, ze neco brani komunikaci na tomto portu . Nemusi byt chyba u tebe. Nejdrive bych zkusil, jestli se pripojis z LANky. Kdyz jo, zkus z venku :

sudo apt-get install hping3
sudo hping3 -S -p tvuj_port tvoje_ip

Muze ti rict vice o tom, na jake adrese dochazi k problemu. Potom bych zkusil nastavit ssh na jiny port, coz by mohlo pomoci.

[On]

Z LAN vše funguje, v domácí sítí "esesháčkuju" bez problémů tam i zpět..

Zkouším to ale v práci a není mi jasné, že:

Kód: [Vybrat]

ladik@ladik:~/Plocha$ nmap -PN -p T:ssh 192.168.130.158

Starting Nmap 4.76 ( http://nmap.org ) at 2009-10-21 12:17 CEST
Interesting ports on 192.168.130.158:
PORT   STATE  SERVICE
22/tcp closed ssh
 port 22 je zavřený, ale v té utilitě hping:

Kód: [Vybrat]

ladik@ladik:~/Plocha$ sudo hping3 -S -p 22 192.168.130.158
HPING 192.168.130.158 (eth0 192.168.130.158): S set, 40 headers + 0 data bytes
len=46 ip=192.168.130.158 ttl=128 id=13669 sport=22 flags=RA seq=0 win=0 rtt=0.3 ms
len=46 ip=192.168.130.158 ttl=128 id=13670 sport=22 flags=RA seq=1 win=0 rtt=0.2 ms
len=46 ip=192.168.130.158 ttl=128 id=13671 sport=22 flags=RA seq=2 win=0 rtt=0.2 ms
 .....se jeví, jako že ho propingne...čili otevřený? Pokud by byl port 22 zavřený, předpokládám, že by to nepropinglo..

[oyankee]

 Mas na routeru nastavenou spravne u toho portu tvoji lokalni adresu?

[nettezzaumana]

Kód: [Vybrat]

ladik@ladik:~$ ssh ladik@192.168.130.20
ssh: connect to host 192.168.130.20 port 22: [b]No route to host[/b]
 

.. je to tak nepochopitelne?

predpokladam, ze sshd ti bezi a je na portu 22:

Kód: [Vybrat]

# lsof -i TCP | grep sshd
sshd       3018   root    3u  IPv4   8224      0t0  TCP *:ssh (LISTEN)


[On]

ladik@ladik:~$ ssh ladik@192.168.130.20
ssh: connect to host 192.168.130.20 port 22: No route to host
.. je to tak nepochopitelne?
 

Pochopitelné je, že tuto IP nemůže najít = cíl neexistuje. Psal jsem to jako příklad(vymyslel si neexistující ip), pač mně to tuto hlášku nevypisuje..vypisuje mi "connection refused", viz. první příspěvek..Chtěl jsem tím jen říct, že mě najde, ale nepřipojí...(aby nedošlo k omylu, že třeba píšu špatnou IP)

# lsof -i TCP | grep sshd
sshd       3018   root    3u  IPv4   8224      0t0  TCP *:ssh (LISTEN)

No, to už je zajímavější, pač tento příkaz nevypíše nic...prázdnou řádku..

Kód: [Vybrat]

ladik@ladik:~$ lsof -i TCP | grep sshd
ladik@ladik:~$

na lokálu mi ale ssh normálně běží....

Mas na routeru nastavenou spravne u toho portu tvoji lokalni adresu?

Tím si jsem nejjistější..při najetí do widlí tam mám utilitu portforwarding, kde si napíšu číslo portu + protokol. Rozsah 20-22 pro protokol TCP je přesměrovaný - píše OPEN. V linuxu výpis:

Kód: [Vybrat]

ladik@ladik:~$ nmap -PN -p T:ftp,ssh 192.168.2.100

Starting Nmap 4.76 ( http://nmap.org ) at 2009-10-21 17:29 CEST
Interesting ports on 192.168.2.100:
PORT   STATE  SERVICE
21/tcp closed ftp
22/tcp open   ssh
...což mi není tak uplně jasné, pač porty 20-22 jsou ve widlích všechny OPEN.

[nettezzaumana]

proved ten prikaz jako root

a jeste rovnou ukaz: netstat -an | grep :22

[On]

aha :-)

Kód: [Vybrat]

ladik@ladik:~$ sudo lsof -i TCP | grep sshd
[sudo] password for ladik:
sshd    2514     root    3u  IPv4   6130       TCP *:ssh (LISTEN)
sshd    2514     root    4u  IPv6   6132       TCP *:ssh (LISTEN)


Kód: [Vybrat]

ladik@ladik:~$ sudo netstat -an | grep :22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp6       0      0 :::22                   :::*                    LISTEN     


[nettezzaumana]

Kód: [Vybrat]

# nmap -sT -P0 95.82.137.171 -p 22

Starting Nmap 4.75 ( http://nmap.org ) at 2009-10-21 17:47 CEST
Interesting ports on ip4 (95.82.137.171):
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds

# ssh 95.82.137.171
The authenticity of host '95.82.137.171 (95.82.137.171)' can't be established.
RSA key fingerprint is b2:a4:80:ad:a6:f3:84:8c:e4:fe:c6:57:9a:ce:53:7b.
Are you sure you want to continue connecting (yes/no)? ^C
?ISP

[On]

Eh? Jen jsem změnil v routeru přesměrování, resp. upravil. Měl jsem tam OPEN pro 20-21 a zvlášť OPEN port 22...tak jsem to jen zjednodušil do jednoho řádku, takže aby povolil 20-22....teď už to teda snad jde...můžu tě ještě využít, jestli se to opravdu konektne?

Kód: [Vybrat]

ssh ladik@95.82.137.171

[nettezzaumana]

sak to sam zejtra zkusis

[On]

jsem hrozně netrpělivý, ale dobrá tedy :-)

každopádně všem díky...

[LuciusMare]

Btw,ne ze bych se o neco snazil,ale mas tam povoleno prihlaseni na roota,coz je celkem dost nebezpecne...zakazat!
man sshd

[nettezzaumana]

Btw,ne ze bych se o neco snazil,ale mas tam povoleno prihlaseni na roota,coz je celkem dost nebezpecne...zakazat!
man sshd

,, yet another stupid post  ..

ha. ma tam povoleno i prihlaseni na santa_klaus

[LuciusMare]

BBM: Nevim co si mam o tom tvem postu myslet,jak se na to koukam je to obrovska blbost,ale ty by jsi prece nerekl blbost,ne?Me jde o to ze takhle kdyz oskanuje nekdo porty,zjisti ze ma ssh otevrene,chce se pripojit.Jediny user co vi ze existuje je root,ostatni nevi.Takze zkusi jako prvni roota a ejhle,povoleno.Ted uz jde jen o zpusob zjisteni hesla,bruteforce,slovnikovy utok,nebo jednodussi,nejak z neho heslo vymamit...
edit: jasne ze se o jeho tajemstvi nikdo nezajima tolik aby riskoval odhaleni,nebo tak,ale paranoia je paranoia

[nettezzaumana]

tys asi nezkusil: `ssh $jeho_ip -l santa_klaus `? .. to bys pochopil, co jsem tim chtel rict.