Nie wiem co nagrzebałeś ale musi być -t NAT.
Wstawiłeś poprawnie IP itd.?
Pozdrawiam.
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Problem z ssh http://forum.freesco.pl/viewtopic.php?f=22&t=10341 |
Strona 1 z 1 |
| Autor: | sert [ niedziela, 18 grudnia 2005, 14:01 ] |
| Tytuł: | Problem z ssh |
router Asmax (192.168.1.1) | switch ----- 20 kompow na skretce i wifi | NND-1 (posiadajacy 2 podsieci 192.168.2.1, 192.168.3.1) | NND-2 (192.168.2.2) Wiem ze schemat jest dzwiny ale to chwilowo bo dopiero testuje NND. Pracuje zdalnie logujac sie z kompa podpietego do switcha i nie ma problemu z logowaniem sie do NND-1 ale nie moge zalogowac sie na NND-2. Na NND-2 jest internet i moge pingowac wszystkie wewnetrzne hosty. Konfiguracje ssh ma standardowa wiec w czym moze byc problem? z gory dzieki za odp pozdrawiam sert |
|
| Autor: | agbis [ niedziela, 18 grudnia 2005, 16:05 ] |
| Tytuł: | |
No i prawidłowo. Zwróć uwagę, że z punktu widzenia NND1 - switch i wszystkie 20 kompów są po stronie internetu (WAN)! NND1 chroni komputery w LANie (czyli podsieciach 192.168.2.1/24 i 192.168.3.1/24) przed możliwością nawiązania połączenia z zewnątrz. Jeśli jest Ci potrzebna możliwość nawiązania połączenia z zewnątrz, to musiałbyś zrobić odpowiednie przekierowanie dla portu 22 na firewallu. |
|
| Autor: | Anonymous [ niedziela, 18 grudnia 2005, 19:05 ] |
| Tytuł: | |
Jeśli dobrze zrozumiałam to na NND1 potrzebujesz takie coś: iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16. --dport JAKIS_PORT -j DNAT --to IP_NND2:22 Pozdrawiam. |
|
| Autor: | sert [ niedziela, 18 grudnia 2005, 19:24 ] |
| Tytuł: | |
wpisalem ta regulke ale dalej nic nawet wylaczylem maskarade NETWORK=0 i dalej to samo no i oczywiscie po kazdej zmianie robilem restart firewalla |
|
| Autor: | Anonymous [ niedziela, 18 grudnia 2005, 19:28 ] |
| Tytuł: | |
Wpisz tę regułkę zaraz po regułkach POSTROUTING. Pozdrawiam. |
|
| Autor: | sert [ niedziela, 18 grudnia 2005, 20:51 ] |
| Tytuł: | |
wpisalem ale jest blad iptables-restore v1.3.1: Line 27 seems to have a -t table option. Error occurred at line: 27 Try `iptables-restore -h' or 'iptables-restore --help' for more information. |
|
| Autor: | sert [ niedziela, 18 grudnia 2005, 21:16 ] |
| Tytuł: | |
ok bledu juz nie ma bo nie mozna wpisac w tablicy nat tej regulki ktora zawiera info odnosnie tablicy iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16. --dport JAKIS_PORT -j DNAT --to IP_NND2:22 musialem usunac -t nat ale i tak dalej nie moge zalogowac przez ssh |
|
| Autor: | Anonymous [ niedziela, 18 grudnia 2005, 21:25 ] |
| Tytuł: | |
Nie wiem co nagrzebałeś ale musi być -t NAT. Wstawiłeś poprawnie IP itd.?
Pozdrawiam. |
|
| Autor: | sert [ niedziela, 18 grudnia 2005, 21:50 ] |
| Tytuł: | |
Tak wstawilem i nie moze byc -t NAT bo w iptables.rules tablice sa rozdzielone # Generated by iptables-save v1.3.1 on Sun Dec 18 23:18:48 2005 *filter :INPUT DROP [23:2935] :FORWARD DROP [0:0] :OUTPUT ACCEPT [287:143856] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m multiport --dports 135,445 -j DROP -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT -A INPUT -i ! eth0 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o lo -j ACCEPT -A FORWARD -p tcp -m multiport --dports 135,445 -j DROP -A FORWARD -i ! eth0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Sun Dec 18 23:18:48 2005 # Generated by iptables-save v1.3.1 on Sun Dec 18 23:18:48 2005 *nat  REROUTING ACCEPT [28:3987]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2:142] -A POSTROUTING -o eth0 -j MASQUERADE -A PREROUTING -p TCP -s 192.168.0.0/16 --dport 22 -j DNAT --to 192.168.2.3:22 COMMIT # Completed on Sun Dec 18 23:18:48 2005 |
|
| Autor: | zciech [ niedziela, 18 grudnia 2005, 23:04 ] |
| Tytuł: | |
po trzecie primo jeszcze to: -A FORWARD -d 192.168.2.3 -j ACCEPT sert pisze: -A PREROUTING -p TCP -s 192.168.0.0/16 --dport 22 -j DNAT --to 192.168.2.3:22
po drugie primo tcp (male litery) po pierwsze primo V (na dole) |
|
| Autor: | agbis [ niedziela, 18 grudnia 2005, 23:46 ] |
| Tytuł: | |
Ja bym to zrobił tak: iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 1022 -j DNAT --to 192.168.2.2:22 iptables -A FORWARD -p tcp -d 192.169.2.2 --dport 22 -j ACCEPT Nie podałeś, jakie IP ma interfejs WAN routera. Popraw w skrypcie 192.168.1.2 na taki, jak masz faktycznie. Wtedy łącząc się z tym adresem na porcie 22 nawiązujesz połączenie z NND1 a łącząc Z TYM SAMYM ADRESEM na porcie 1022 - z NND2. A wogóle, to pokaż, jak masz skonfigurowane interfejsy (wklej wynik polecenia 'ifconfig'). Domyślam się z Twojego pierwszego postu, że na NND1 masz 3 interfejsy a przedmówcy inaczej niż ja zrozumieli Twoje sformułowanie "NND-1 (posiadajacy 2 podsieci 192.168.2.1, 192.168.3.1) " |
|
| Autor: | sert [ poniedziałek, 19 grudnia 2005, 00:35 ] |
| Tytuł: | |
nie rozumie tego stwierdzenia  zciech pisze: po pierwsze primo V (na dole) reszte zrobilem jak pisales ale dalej to samo agbis pisze: Nie podałeś, jakie IP ma interfejs WAN routera router asmax ma 192.168.1.1 agbis pisze: Popraw w skrypcie 192.168.1.2 na taki, jak masz faktycznie. Wtedy łącząc się z tym adresem na porcie 22 nawiązujesz połączenie z NND1 a łącząc Z TYM SAMYM ADRESEM na porcie 1022 - z NND2. A wogóle, to pokaż, jak masz skonfigurowane interfejsy (wklej wynik polecenia 'ifconfig'). Domyślam się z Twojego pierwszego postu, że na NND1 masz 3 interfejsy a przedmówcy inaczej niż ja zrozumieli Twoje sformułowanie "NND-1 (posiadajacy 2 podsieci 192.168.2.1, 192.168.3.1) "
Tak zgadza sie mam 3 interfejsy, no mozliwe ze mnie zle zrozumieli jak tak to sorry. Wedlug twojej regulki bedzie laczyl sie na porcie 1022 z NND-2 to jeszcze zapomniales dodac ze musze na NND-2 zmienic port do ssh z 22 na 1022. Sprawdzalem to co napisales na 22 i tez nie szlo ale sprawdze jeszcze na 1022. Info z ifconfig z NND-1 eth0 Link encap:Ethernet HWaddr 00:50:04:41:E6:E4 inet addr:192.168.1.15 Bcast:255.255.255.255Mask:255.255.255.0 UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1 RX packets:9538 errors:0 dropped:0 overruns:0 frame:0 TX packets:6674 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2948086 (2.8 Mb) TX bytes:2366933 (2.2 Mb) Interrupt:10 Base address:0xe400 eth1 Link encap:Ethernet HWaddr 00:90:27:86:2E:4A inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5474 errors:389 dropped:0 overruns:0 frame:389 TX packets:5605 errors:0 dropped:0 overruns:0 carrier:0 collisions:30 txqueuelen:1000 RX bytes:1869972 (1.7 Mb) TX bytes:2879938 (2.7 Mb) Interrupt:12 Base address:0xe800 Memory:ea302000-ea302038 eth2 Link encap:Ethernet HWaddr 00:90:27:A5:2B:8C inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:11 Base address:0xec00 Memory:ea301000-ea301038 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:3 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:336 (336.0 b) TX bytes:336 (336.0 b) |
|
| Autor: | zciech [ poniedziałek, 19 grudnia 2005, 00:55 ] |
| Tytuł: | |
1. Przeczytaj artykul w linku na dole. 2. pomysl 3. przeczytaj jeszcze raz 4.znowu pomysl 5. popatrz na rysunki 6. wyobraz sobie drogie pakietu jak sie przedziera sie przez router a reguly mu zmieniaja adresy i porty 7. Idz spac, justo sie obudzisz i bedziesz wiedzial jak to zrobic kroki od 1 do 4 mozna powtarzac do skutku. Tak na marginesie jesli jakies przekierowanie nie dziala a wyglada tak: iptables -t nat -I PREROUTING -p tcp --dport xx -j DNAT --to IP:yy iptables -I FORWARD -d IP -j ACCEPT iptables -I FORWARD -s IP -j ACCEPT gdzie IP - adres IP komputera udostepniajacego usluge w sieci lokalnej yy - port na ktorym dziala usluga w w/w komputerze xx - port na jakim w/w usluga ma byc widoczna w routerze To blad jest gdzies indziej. na maszynie NND-1 (posiadajacy 2 interfejsy o adresach 192.168.2.1, 192.168.3.1) wpisz: iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to 192.168.2.2:22 iptables -I FORWARD -d 192.168.2.2 -j ACCEPT iptables -I FORWARD -s 192.168.2.2 -j ACCEPT wpisanie : ssh 192.168.2.1 na maszynie 192.168.2.2 powinno spowodowac otwarcie ssh z maszyny 192.168.2.2 a nie 192.168.2.1 ( co bylo by bez przekierowania) |
|
| Autor: | sert [ poniedziałek, 19 grudnia 2005, 01:11 ] |
| Tytuł: | |
Sorry ludzie  ale wszystko no niby gra bo troche jest namieszane obie reguly dzialaja po zmianie jakie ziech mi napisal odpala sie ssh (wybieram w putty 192.168.1.15 czyli IP NND-1) i zamiast z NND-1 to laczy sie z NND-2 no niby ok ale na tym IP z NND-1 dziala ssh z NND-2
Zwracam honor bo agbis chyba na razie ma najlepsze rozwiazanie, nie dzialalo bo skopiwalem tak jak pisales i byla pomylona cyfra zamiast 169 mialo byc 168. Wszytsko chodzi jak w putty ustawie: 192.168.1.15 (IP NND-1) port 22 to laczy sie z NND-1 a jak 192.168.1.15(IP NND-1) port 1022 to laczy sie z NND-2 -A FORWARD -p tcp -d 192.168.2.3 --dport 22 -j ACCEPT -A PREROUTING -p tcp -d 192.168.1.15 --dport 1022 -j DNAT --to 192.168.2.3:22 to sa reguly na ktorych poszlo tak jak wyzej pisalem 192.168.2.3 to IP NND-2 192.168.1.15 to IP eth0 z NND-1 Szczerze przyznam myslalem ze bedzie sie laczyl normlanie czyli po wpisaniu IP NND-2 nawiąże polaczenie z NND-2 No moze znajdzie sie jeszcze inne rozwiazanie ale dziekuje za okazana pomoc
pozdrawiam sert |
|
| Autor: | zciech [ poniedziałek, 19 grudnia 2005, 01:21 ] |
| Tytuł: | |
oczywiscie, ale na razie sie za to nie bierz
|
|
| Autor: | agbis [ poniedziałek, 19 grudnia 2005, 01:25 ] |
| Tytuł: | |
Cytuj: nie rozumie tego stwierdzenia Embarassed zciech napisał: po pierwsze primo V (na dole) "Na dole" jest sugestia zapoznania się z opracowaniem na temat firewalli: "Moze byście sobie jednak to przeczytali: http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf". Rówież polecam Cytuj: router asmax ma 192.168.1.1 Tym razem ja się wyraziłem nieprecyzyjnie. W tym zagadnieniu znaczenie ma wyłącznie NND1, który też jest routerem. Już wiem, że ma IP 192.168.1.15 W tych okolicznościach regułki będą wyglądały tak: iptables -t nat -A PREROUTING -p tcp -d 192.168.1.15 --dport 1022 -j DNAT --to 192.168.2.2:22 iptables -A FORWARD -p tcp -d 192.169.2.2 --dport 22 -j ACCEPT Cytuj: zapomniales dodac ze musze na NND-2 zmienic port do ssh z 22 na 1022 Nie zapomniałem i nie musisz (a nawet nie możesz). Przekierowany jest port 1022 od strony WAN na 22 (zwróć uwagę na ":22" w pierwszej linijce) Jeśli nadal Ci to nie zadziała, podaj ponownie, co Ci zwróci 'iptables-save' albo... zastosuj się do rady zciecha //EDIT: Widzę, że w czasie, jak skrobałem odpowiedź, sam doszedłeś do tego samego rozwiązania Cytuj: No moze znajdzie sie jeszcze inne rozwiazanie
Nie wiem co brakuje temu rozwiązaniu, ale podsunę Ci jeszcze inne: Logujesz się najpierw na NND1. Piszesz komendę: 'ssh 192.168.2.3' i już jesteś na NND2. |
|
| Autor: | sert [ poniedziałek, 19 grudnia 2005, 01:45 ] |
| Tytuł: | |
agbis pisze: Cytuj: nie rozumie tego stwierdzenia Embarassed zciech napisał: po pierwsze primo V (na dole) "Na dole" jest sugestia zapoznania się z opracowaniem na temat firewalli: "Moze byście sobie jednak to przeczytali: http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf". Rówież polecam obecnie czytam "Bezpieczenstwo sieci lokalnych w opraciu o model Open Source" ale z tym pdf tez sie zapoznam bo dotyczy tego samego, co wiecej jest zrobiony w bardzo przejrzysty sposob i chwala TEMU co to opracowal pozdrawiam sert |
|
| Autor: | Anonymous [ poniedziałek, 19 grudnia 2005, 01:49 ] |
| Tytuł: | |
Co to ma do rzecz czy TCP jest z małej czy z dużej? Ja piszę z dużej od zawsze. Pozdrawiam. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|