PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH im LAN ja im Inet nein!



ReaTh
18.05.02, 15:47
Wie es die Überschrift schon zu erkennen gibt, habe ich nen SSH demon auf meinen Gatewayrechner laufen, vom LAN aus kann ich diesen ansprechen und alles funzt prima.

Spreche ich diesen Rechner übers Netz an, verbindet er sich nicht. Der Port wird bei einem Scan auch nicht als offen angezeigt.
Auf dem Gateway läuf nen Packetfilter Suse2, Port 22 ist nach AUßEN allerdings freigegeben.

Was kann das sein? Habe den Packetfilter mal runtergefahren geht immernoch nur ausm LAN.

Habe den Demon auch nicht an eine IPaddy gebunden (ListenAdress) und auch wenn ich ihn an meine interne sowie externe binde funzt es nicht!!

HILFE!!!

anda_skoa
18.05.02, 20:28
Geht es, wenn du von einem internen Rechner auf Port 22 der externen Adresse verbindest?

Also, wenn zB die externe Adresse 123.123.123.123 wäre

ssh user@123.123.123.123

Ciao,
_

geronet
18.05.02, 23:29
Schaue auf dem Rechner auf dem der sshd läuft per "netstat -an" nach ob der sshd dort auf dem Port 22 wirklich lauscht.

Grüsse, Stefan

ReaTh
19.05.02, 13:36
Also wenn ich den ausm Lan mit der externen IP anspreche geht es auch nicht!!!!
Nur über seine interne IPaddy
Und ja ssh lauscht auf 22, siehe unten!
tcp 0 0 :::22 :::* LISTEN

geronet
19.05.02, 14:20
Das ist aber ein ipv6 Adresse.

ReaTh
19.05.02, 17:41
Hier mal meine sshd_config, vielleicht ist ja da was gravierendes zu erkennen:

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.

Port 22
Protocol 2
#ListenAddress ::
#HostKey /etc/ssh/ssh_host_key
#HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
#
# Don't read ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
#PrintLastLog no
KeepAlive yes

AllowUsers einerderUsernamen

# Logging
SyslogFacility AUTH
LogLevel INFO
#obsoletes QuietMode and FascistLogging

RhostsAuthentication no
#
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
#
#RSAAuthentication yes# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

# Uncomment to disable s/key passwords
ChallengeResponseAuthentication no

# Uncomment to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt yes

# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

#CheckMail yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem sftp /usr/lib/ssh/sftp-server

geronet
19.05.02, 18:02
Hast du nur ipv6 Adressen? Zeig doch mal ifconfig her..

mirk0
20.05.02, 13:28
Hast du vielleicht einen Router betrieb bei dir laufen??

dann musst du auch beim Router nämlich den Port 22 für den Rechner bzw. dann für die interne IP freischalten,

vielleicht liegt es daran

ReaTh
20.05.02, 20:08
eth0 Protokoll:Ethernet Hardware Adresse 00:50:BF:E0:99:14
inet Adresse:192.168.10.2 Bcast:192.168.10.255 Maske:255.255.255.0
inet6 Adresse: fe80::250:bfff:fee0:9914/10 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:15216 errors:0 dropped:0 overruns:0 frame:0
TX packets:15181 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:1154533 (1.1 Mb) TX bytes:19753450 (18.8 Mb)
Interrupt:11 Basisadresse:0x1f00

ippp0 Protokoll:Punkt-zu-Punkt Verbindung
inet Adresse:145.45.228.27 P-z-P:145.45.2.83 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP DYNAMIC MTU:1500 Metric:1
RX packets:15130 errors:0 dropped:0 overruns:0 frame:0
TX packets:14944 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:30
RX bytes:19664107 (18.7 Mb) TX bytes:977783 (954.8 Kb)

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

So sieht ifconfig von meinem Router aus!!!!!!!!!!!

P.S. an mirk0 sshd läuft auf meinem Router, ich will gar nicht an den rechner dahinter ran. Und Port 22 ist iptablemäßig offen!

geronet
21.05.02, 19:10
Ok, ne normale IP haste ja.. aber was zeigt er denn sonst noch so in "netstat -a" an?

ReaTh
22.05.02, 14:20
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:isdnlog *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 192.168.10.10:ssh 192.168.10.20:32817 VERBUNDEN

Aktive Sockets in der UNIX Domäne (Server und stehende Verbindungen)
Proto RefZäh Flaggen Typ Zustand I-Node Pfad
unix 7 [ ] DGRAM 1003 /dev/log
unix 2 [ ACC ] STREAM HÖRT 2003 /var/run/smpppd/controlunix 2 [ ACC ] STREAM HÖRT 1526 /var/run/.nscd_socket
unix 2 [ ] DGRAM 2287
unix 2 [ ] DGRAM 2263
unix 2 [ ] DGRAM 2019
unix 2 [ ] DGRAM 2002
unix 2 [ ] DGRAM 1882

Das ist alles, die Verbindung ist jetzt vom internen zum router aufgebaut über ssh, aber halt nur über 192.168.10.10 über die externe ip no chance!!!

geronet
22.05.02, 19:30
>tcp 0 0 *:ssh *:* LISTEN

Also, nach den bisherigen Angaben scheint ja alles noch zu passen. Hast du bei dem ISDN-Link auch den dynip-Hack im Kernel aktiviert? Wenn nicht schau mal ob eine "1" in der Datei /proc/sys/net/ipv4/ip_dynaddr steht, falls nicht solltest du in irgendeinem Script das beim booten aktiviert wird das reinschreiben:

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

und mal neu einwählen oder besser neu booten.

Wenn das ganze nicht funktioniert, brauchst du einen zweiten Rechner mit eigenem Inet-Anschluss (also einen von dem du ssh von aussen her probieren kannst).


Bevor du die Verbindung probierst, startest du tcpdump auf dem Linuxrouter:

tcpdump -i ippp0

Und schaust nach was so passiert (am besten wenn kein anderer den Router benützt.. so Programme wie ICQ sind schlimm..)

Du kannst auch das ganze in eine Datei schreiben lassen:

tcpdump -i ippp0 > /tmp/datei

Bist du ausserdem ganz sicher dass die Firewall nicht den Port 22 blockt? "iptables -L" zeigt alle Regeln auf..


Grüsse, Stefan

ReaTh
22.05.02, 23:26
Original geschrieben von geronet
>tcp 0 0 *:ssh *:* LISTEN

Also, nach den bisherigen Angaben scheint ja alles noch zu passen. Hast du bei dem ISDN-Link auch den dynip-Hack im Kernel aktiviert? Wenn nicht schau mal ob eine "1" in der Datei /proc/sys/net/ipv4/ip_dynaddr steht, falls nicht solltest du in irgendeinem Script das beim booten aktiviert wird das reinschreiben:

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

und mal neu einwählen oder besser neu booten.

Wenn das ganze nicht funktioniert, brauchst du einen zweiten Rechner mit eigenem Inet-Anschluss (also einen von dem du ssh von aussen her probieren kannst).


Bevor du die Verbindung probierst, startest du tcpdump auf dem Linuxrouter:

tcpdump -i ippp0

Und schaust nach was so passiert (am besten wenn kein anderer den Router benützt.. so Programme wie ICQ sind schlimm..)

Du kannst auch das ganze in eine Datei schreiben lassen:

tcpdump -i ippp0 > /tmp/datei

Bist du ausserdem ganz sicher dass die Firewall nicht den Port 22 blockt? "iptables -L" zeigt alle Regeln auf..


Grüsse, Stefan


Jo habe DynIp aktiviert. No probb!

Tcpdump bekommt daten genau von dem Rechner von welchem ich mich von außen verbinden wollte, aber der SSHDemon reagiert nicht.

Iptables, ja 22 wird nicht geblockt nach außen!!

HILFE!!!!!!

geronet
23.05.02, 18:29
Soso.. kannst du mir mal den Ausschnitt geben von tcpdump?
Sonst wüsste ich auch nichts mehr.. ausser wenn du den sshd neustartest, kommen da irgendwelche (Fehler-) Meldungen in der /var/log/messages?

Grüsse, Stefan

ReaTh
26.05.02, 13:39
Original geschrieben von geronet
Soso.. kannst du mir mal den Ausschnitt geben von tcpdump?
Sonst wüsste ich auch nichts mehr.. ausser wenn du den sshd neustartest, kommen da irgendwelche (Fehler-) Meldungen in der /var/log/messages?

Grüsse, Stefan

Sorry habe den Tcpdumpmitschnitt nichtmehr könnte natürlich noch nen neuen machen, aber es ist auf jedenfall ersichtlich das Daten ankommen am richtigen Host.

Fehlermeldungen bekomme ich keine, SSHD läuft ja auch einwandfrei im internen Netzwerk.

geronet
26.05.02, 18:13
Und welche Pakete gehen dann als Antwort zurück?
Vielleicht irgendeine ICMP Nachricht à la "destination port unreachable"

Grüsse, Stefan