Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Problem z ssh

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 18 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

sert

Tytuł: Problem z ssh

: niedziela, 18 grudnia 2005, 14:01

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

router Asmax (192.168.1.1)
|
switch ----- 20 kompow na skretce i wifi
|
NND-1 (posiadajacy 2 podsieci 192.168.2.1, 192.168.3.1)
|
NND-2 (192.168.2.2)

Wiem ze schemat jest dzwiny ale to chwilowo bo dopiero testuje NND.
Pracuje zdalnie logujac sie z kompa podpietego do switcha i nie ma problemu z logowaniem sie do NND-1 ale nie moge zalogowac sie na NND-2. Na NND-2 jest internet i moge pingowac wszystkie wewnetrzne hosty.
Konfiguracje ssh ma standardowa wiec w czym moze byc problem?

z gory dzieki za odp
pozdrawiam
sert

Na górę

agbis

Tytuł:

: niedziela, 18 grudnia 2005, 16:05

Rejestracja: poniedziałek, 31 stycznia 2005, 19:55
Posty: 74
Lokalizacja: Oświęcim

No i prawidłowo. Zwróć uwagę, że z punktu widzenia NND1 - switch i wszystkie 20 kompów są po stronie internetu (WAN)! NND1 chroni komputery w LANie (czyli podsieciach 192.168.2.1/24 i 192.168.3.1/24) przed możliwością nawiązania połączenia z zewnątrz. Jeśli jest Ci potrzebna możliwość nawiązania połączenia z zewnątrz, to musiałbyś zrobić odpowiednie przekierowanie dla portu 22 na firewallu.

Na górę

Anonymous

Tytuł:

: niedziela, 18 grudnia 2005, 19:05

Jeśli dobrze zrozumiałam to na NND1 potrzebujesz takie coś:

iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16. --dport JAKIS_PORT -j DNAT --to IP_NND2:22

Pozdrawiam.

Na górę

sert

Tytuł:

: niedziela, 18 grudnia 2005, 19:24

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

wpisalem ta regulke ale dalej nic nawet wylaczylem maskarade NETWORK=0 i dalej to samo no i oczywiscie po kazdej zmianie robilem restart firewalla

Na górę

Anonymous

Tytuł:

: niedziela, 18 grudnia 2005, 19:28

Wpisz tę regułkę zaraz po regułkach POSTROUTING.

Pozdrawiam.

Na górę

sert

Tytuł:

: niedziela, 18 grudnia 2005, 20:51

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

wpisalem ale jest blad

iptables-restore v1.3.1: Line 27 seems to have a -t table option.

Error occurred at line: 27
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Na górę

sert

Tytuł:

: niedziela, 18 grudnia 2005, 21:16

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

ok bledu juz nie ma bo nie mozna wpisac w tablicy nat tej regulki ktora zawiera info odnosnie tablicy
iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16. --dport JAKIS_PORT -j DNAT --to IP_NND2:22
musialem usunac -t nat ale i tak dalej nie moge zalogowac przez ssh

Na górę

Anonymous

Tytuł:

: niedziela, 18 grudnia 2005, 21:25

Nie wiem co nagrzebałeś ale musi być -t NAT.

Wstawiłeś poprawnie IP itd.?

Pozdrawiam.

Na górę

sert

Tytuł:

: niedziela, 18 grudnia 2005, 21:50

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

Tak wstawilem i nie moze byc -t NAT bo w iptables.rules tablice sa rozdzielone

# Generated by iptables-save v1.3.1 on Sun Dec 18 23:18:48 2005
*filter
:INPUT DROP [23:2935]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [287:143856]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 135,445 -j DROP
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -i ! eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 135,445 -j DROP
-A FORWARD -i ! eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

COMMIT
# Completed on Sun Dec 18 23:18:48 2005
# Generated by iptables-save v1.3.1 on Sun Dec 18 23:18:48 2005
*nat

REROUTING ACCEPT [28:3987]

OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2:142]
-A POSTROUTING -o eth0 -j MASQUERADE

-A PREROUTING -p TCP -s 192.168.0.0/16 --dport 22 -j DNAT --to 192.168.2.3:22

COMMIT
# Completed on Sun Dec 18 23:18:48 2005

Na górę

zciech

Tytuł:

: niedziela, 18 grudnia 2005, 23:04

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

po trzecie primo jeszcze to:
-A FORWARD -d 192.168.2.3 -j ACCEPT

sert pisze:

-A PREROUTING -p TCP -s 192.168.0.0/16 --dport 22 -j DNAT --to 192.168.2.3:22

po drugie primo tcp (male litery)

po pierwsze primo V (na dole)

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

agbis

Tytuł:

: niedziela, 18 grudnia 2005, 23:46

Rejestracja: poniedziałek, 31 stycznia 2005, 19:55
Posty: 74
Lokalizacja: Oświęcim

Ja bym to zrobił tak:

: [/] [] ()

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 1022 -j DNAT --to 192.168.2.2:22
iptables -A FORWARD -p tcp -d 192.169.2.2 --dport 22 -j ACCEPT

GeSHi © Codebox Plus

Nie podałeś, jakie IP ma interfejs WAN routera. Popraw w skrypcie 192.168.1.2 na taki, jak masz faktycznie.
Wtedy łącząc się z tym adresem na porcie 22 nawiązujesz połączenie z NND1 a łącząc Z TYM SAMYM ADRESEM na porcie 1022 - z NND2.
A wogóle, to pokaż, jak masz skonfigurowane interfejsy (wklej wynik polecenia 'ifconfig'). Domyślam się z Twojego pierwszego postu, że na NND1 masz 3 interfejsy a przedmówcy inaczej niż ja zrozumieli Twoje sformułowanie "NND-1 (posiadajacy 2 podsieci 192.168.2.1, 192.168.3.1) "

Na górę

sert

Tytuł:

: poniedziałek, 19 grudnia 2005, 00:35

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

nie rozumie tego stwierdzenia :oops:

zciech pisze:

po pierwsze primo V (na dole)

reszte zrobilem jak pisales ale dalej to samo

agbis pisze:

Nie podałeś, jakie IP ma interfejs WAN routera

router asmax ma 192.168.1.1

agbis pisze:

Popraw w skrypcie 192.168.1.2 na taki, jak masz faktycznie. Wtedy łącząc się z tym adresem na porcie 22 nawiązujesz połączenie z NND1 a łącząc Z TYM SAMYM ADRESEM na porcie 1022 - z NND2. A wogóle, to pokaż, jak masz skonfigurowane interfejsy (wklej wynik polecenia 'ifconfig'). Domyślam się z Twojego pierwszego postu, że na NND1 masz 3 interfejsy a przedmówcy inaczej niż ja zrozumieli Twoje sformułowanie "NND-1 (posiadajacy 2 podsieci 192.168.2.1, 192.168.3.1) "

Tak zgadza sie mam 3 interfejsy, no mozliwe ze mnie zle zrozumieli jak tak to sorry.
Wedlug twojej regulki bedzie laczyl sie na porcie 1022 z NND-2 to jeszcze zapomniales dodac ze musze na NND-2 zmienic port do ssh z 22 na 1022. Sprawdzalem to co napisales na 22 i tez nie szlo ale sprawdze jeszcze na 1022.

Info z ifconfig z NND-1

: [/] [] ()

eth0      Link encap:Ethernet  HWaddr 00:50:04:41:E6:E4
          inet addr:192.168.1.15  Bcast:255.255.255.255Mask:255.255.255.0
          UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
          RX packets:9538 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6674 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2948086 (2.8 Mb)  TX bytes:2366933 (2.2 Mb)
          Interrupt:10 Base address:0xe400

eth1      Link encap:Ethernet  HWaddr 00:90:27:86:2E:4A
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5474 errors:389 dropped:0 overruns:0 frame:389
          TX packets:5605 errors:0 dropped:0 overruns:0 carrier:0
          collisions:30 txqueuelen:1000
          RX bytes:1869972 (1.7 Mb)  TX bytes:2879938 (2.7 Mb)
          Interrupt:12 Base address:0xe800 Memory:ea302000-ea302038

eth2      Link encap:Ethernet  HWaddr 00:90:27:A5:2B:8C
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:11 Base address:0xec00 Memory:ea301000-ea301038

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:336 (336.0 b)  TX bytes:336 (336.0 b)

GeSHi © Codebox Plus

Na górę

zciech

Tytuł:

: poniedziałek, 19 grudnia 2005, 00:55

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

1. Przeczytaj artykul w linku na dole.

2. pomysl

3. przeczytaj jeszcze raz

4.znowu pomysl

5. popatrz na rysunki

6. wyobraz sobie drogie pakietu jak sie przedziera sie przez router a reguly mu zmieniaja adresy i porty

7. Idz spac, justo sie obudzisz i bedziesz wiedzial jak to zrobic

kroki od 1 do 4 mozna powtarzac do skutku.

Tak na marginesie jesli jakies przekierowanie nie dziala
a wyglada tak:

iptables -t nat -I PREROUTING -p tcp --dport xx -j DNAT --to IP:yy
iptables -I FORWARD -d IP -j ACCEPT
iptables -I FORWARD -s IP -j ACCEPT

gdzie
IP - adres IP komputera udostepniajacego usluge w sieci lokalnej
yy - port na ktorym dziala usluga w w/w komputerze
xx - port na jakim w/w usluga ma byc widoczna w routerze

To blad jest gdzies indziej.

na maszynie
NND-1 (posiadajacy 2 interfejsy o adresach 192.168.2.1, 192.168.3.1) wpisz:

iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to 192.168.2.2:22
iptables -I FORWARD -d 192.168.2.2 -j ACCEPT
iptables -I FORWARD -s 192.168.2.2 -j ACCEPT

wpisanie :
ssh 192.168.2.1
na maszynie 192.168.2.2 powinno spowodowac otwarcie ssh z maszyny 192.168.2.2 a nie 192.168.2.1 ( co bylo by bez przekierowania)

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Ostatnio zmieniony poniedziałek, 19 grudnia 2005, 01:16 przez zciech, łącznie zmieniany 1 raz

Na górę

sert

Tytuł:

: poniedziałek, 19 grudnia 2005, 01:11

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

Sorry ludzie

ale wszystko no niby gra bo troche jest namieszane obie reguly dzialaja po zmianie jakie ziech mi napisal odpala sie ssh (wybieram w putty 192.168.1.15 czyli IP NND-1) i zamiast z NND-1 to laczy sie z NND-2 no niby ok ale na tym IP z NND-1 dziala ssh z NND-2

Zwracam honor bo agbis chyba na razie ma najlepsze rozwiazanie, nie dzialalo bo skopiwalem tak jak pisales i byla pomylona cyfra zamiast 169 mialo byc 168.
Wszytsko chodzi jak w putty ustawie:
192.168.1.15 (IP NND-1) port 22 to laczy sie z NND-1
a jak
192.168.1.15(IP NND-1) port 1022 to laczy sie z NND-2

: [/] [] ()

-A FORWARD -p tcp -d 192.168.2.3 --dport 22 -j ACCEPT

-A PREROUTING -p tcp -d 192.168.1.15 --dport 1022 -j DNAT --to 192.168.2.3:22 

to sa reguly na ktorych poszlo tak jak wyzej pisalem
192.168.2.3 to IP NND-2
192.168.1.15 to IP eth0 z NND-1

Szczerze przyznam myslalem ze bedzie sie laczyl normlanie czyli po wpisaniu IP NND-2 nawiąże polaczenie z NND-2

No moze znajdzie sie jeszcze inne rozwiazanie ale dziekuje za okazana pomoc

pozdrawiam
sert

Na górę

zciech

Tytuł:

: poniedziałek, 19 grudnia 2005, 01:21

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

oczywiscie, ale na razie sie za to nie bierz

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

agbis

Tytuł:

: poniedziałek, 19 grudnia 2005, 01:25

Rejestracja: poniedziałek, 31 stycznia 2005, 19:55
Posty: 74
Lokalizacja: Oświęcim

Cytuj:

nie rozumie tego stwierdzenia Embarassed
zciech napisał:
po pierwsze primo V (na dole)

"Na dole" jest sugestia zapoznania się z opracowaniem na temat firewalli:
"Moze byście sobie jednak to przeczytali:
http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf".
Rówież polecam

Cytuj:

router asmax ma 192.168.1.1

Tym razem ja się wyraziłem nieprecyzyjnie. W tym zagadnieniu znaczenie ma wyłącznie NND1, który też jest routerem. Już wiem, że ma IP 192.168.1.15
W tych okolicznościach regułki będą wyglądały tak:

: [/] [] ()

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.15 --dport 1022 -j DNAT --to 192.168.2.2:22
iptables -A FORWARD -p tcp -d 192.169.2.2 --dport 22 -j ACCEPT

Cytuj:

zapomniales dodac ze musze na NND-2 zmienic port do ssh z 22 na 1022

Nie zapomniałem i nie musisz (a nawet nie możesz). Przekierowany jest port 1022 od strony WAN na 22 (zwróć uwagę na ":22" w pierwszej linijce)

Jeśli nadal Ci to nie zadziała, podaj ponownie, co Ci zwróci 'iptables-save' albo... zastosuj się do rady zciecha

//EDIT: Widzę, że w czasie, jak skrobałem odpowiedź, sam doszedłeś do tego samego rozwiązania

Cytuj:

No moze znajdzie sie jeszcze inne rozwiazanie

Nie wiem co brakuje temu rozwiązaniu, ale podsunę Ci jeszcze inne:
Logujesz się najpierw na NND1. Piszesz komendę: 'ssh 192.168.2.3' i już jesteś na NND2.

Na górę

sert

Tytuł:

: poniedziałek, 19 grudnia 2005, 01:45

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

agbis pisze:

Cytuj:

nie rozumie tego stwierdzenia Embarassed
zciech napisał:
po pierwsze primo V (na dole)

"Na dole" jest sugestia zapoznania się z opracowaniem na temat firewalli:
"Moze byście sobie jednak to przeczytali:
http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf".
Rówież polecam

obecnie czytam "Bezpieczenstwo sieci lokalnych w opraciu o model Open Source" ale z tym pdf tez sie zapoznam bo dotyczy tego samego, co wiecej jest zrobiony w bardzo przejrzysty sposob i chwala TEMU co to opracowal

pozdrawiam
sert

Na górę

Anonymous

Tytuł:

: poniedziałek, 19 grudnia 2005, 01:49

Co to ma do rzecz czy TCP jest z małej czy z dużej? Ja piszę z dużej od zawsze.

Pozdrawiam.

Na górę

Strona 1 z 1

[ Posty: 18 ]

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 16 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników