SSH-Zugang auf Firewall-Rechner hinter Fritzbox Fon 7170

[NorbertBehrens]

Hi allerseits,

ich moechte gern via ssh aus der Ferne auf meinen Firewall-Rechner zugreifen.

Mein Netz sieht folgendermassen aus:

Internet - FBF(192.168.1.2) - (192.168.1.1)firewall(192.168.2.1) - (192.168.2.2)client1

FBF = Fritzbox Fon 7170, FW 29.04.80
Auf firewall ist devillinux 1.2.14 installiert
Auf client1 ist SuSE 11.2 installiert

Was momentan klappt: Ich kann via ssh auf meinen client1 zugreifen. Dazu geb'
ich auf meinem Milestone

# ssh -p 3301 <dyndnsname>

ein. DynDNS ist auf der Fritzbox eingerichtet. Auf der Fritzbox hab' ich in der ar7.cfg die Regel

"tcp 0.0.0.0:3301 192.168.1.1:3301 0 # SSH client1"

hinterlegt, und auf firewall in der Datei

/etc/init.d/firewall.rules

die Zeilen

PORT=22
SERVER_IP=192.168.2.2 # client1
DPORT=3301 # port on fritzbox to connect client1
${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport $DPORT -j DNAT --to ${SERVER_IP}:${PORT}
${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport $PORT -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT

ergaenzt. Bis hierher klappt also wie gesagt alles. Jetzt moechte ich aber auch via ssh auf den firewall-Rechner direkt rauf. Dazu hab' ich in Analogie zum oben beschriebenem Vorgehen auf der Fritzbox die Regel

"tcp 0.0.0.0:3302 192.168.1.1:3302 0 # SSH firewall"

eingegeben, und die firewall.rules um folgende Zeilen ergaenzt

SERVER_IP=192.168.2.1 # firewall
DPORT=3302 # port on fritzbox to connect firewall
${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport $DPORT -j DNAT --to ${SERVER_IP}:${PORT}
${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport $PORT -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT

Auf firewall ist sshd aktiviert, und funktioniert aus aus dem internen Netz.
Beim Versuch von meinem MileStone aus

ssh -p 3302 root@<dyndnsname>

aufzurufen, kommt irgendwann ein Timeout

Muss ich noch irgendwas auf dem firewall-Rechner zusaetzlich einstellen, damit der Zugriff aus der Ferne auch funktioniert?

BTW. Ich hab' auf firewall (devil-linux) leider ein komplett leeres /var/log/messages
Wie krieg' ich denn raus wohin die System-Logs geschrieben werden?

ciao
Norbert

[HirschHeisseIch]

Lass mal die Firewall-Regel weg...
Du willst ja die Pakete "nur" akzeptieren und nicht weiterleiten.

Zusätzlich solltest vielleicht überprüfen, ob der sshd an ein bestimmtes Interface gebunden ist.

Wenn die Firewall relativ restriktiv gehalten ist, könntest einen Eintrag wie

Code:

iptables -A INPUT -p tcp --dport 3302 -j ACCEPT

hinzufügen.

Edit:
Und nur so am Rande: Root-Login per ssh ist böse. Am besten direkt deaktivieren...

[NorbertBehrens]

Hi,

Wenn die Firewall relativ restriktiv gehalten ist, könntest einen Eintrag wie

Code:

iptables -A INPUT -p tcp --dport 3302 -j ACCEPT

hinzufügen.

Das hab' ich probiert und bekomm jetzt immerhin eine Antwort:

Code:

Connecting to <dyndnsname>:3302 via ssh
<dyndnsname>/<ipadress>:3302 - Connection refused

. . . noch nicht ganz das, was ich mir wuensche

Zusätzlich solltest vielleicht überprüfen, ob der sshd an ein bestimmtes Interface gebunden ist.

Leider weiss ich nicht genau wie ich das checke. In der /etc/ssh/sshd_config hab' ich nix gefunden was irgendwie auf ein interface hindeutet. Auch im Startscript /etc/init.d/sshd konnnte ich nichts entdecken.

Edit:
Und nur so am Rande: Root-Login per ssh ist böse

Schon klar. Ich spiel hier nur grade mit meinem Netzwerk ein wenig rum, und wunderte mich, dass ich auf die normalen Clients raufkomme und auf den firewall-Rechner selbst nicht. Falls ich tatsaechlich mal von aussen da raufmuesste wuerde ich mich via ssh mit meinem normalen Account auf einem der Clients einloggen, um von da aus als root auf den firewall-rechner zu huepfen. Trotzdem danke!

Am besten direkt deaktivieren...

Wenn das geht, (wie?) dann ist das ja vielleicht genau das, was bei mir momentan eingestellt ist.


ciao
Norbert

[oziris]

Wenn das geht, (wie?) dann ist das ja vielleicht genau das, was bei mir momentan eingestellt ist.

/etc/ssh/sshd_config:
PermitRootLogin no
oder
DenyUsers root

//edit
Mit PAM kann man auch noch weitere Möglichkeite nutzen.

[NorbertBehrens]

Hi

hab' mich wohl ein klein wenig missverstaendlich ausgedrueckt:

Mir geht's nicht in erster Linie darum, von aussen als root auf meinen
firewall-Rechner zuzugreifen (dass kann ich ja via User-Login auf meine
Clients, um von dort aus wiederum als root via ssh auf die Firewall zu
huepfen). Es ist nur so, dass mir beim Herumexperimentieren mit meinem
Netzwerk aufgefallen ist, dass der root-Zugriff von aussen nicht moeglich ist, und ich
nicht verstehe warum nicht.

Zusätzlich solltest vielleicht überprüfen, ob der sshd an ein bestimmtes Interface gebunden ist.

Das war offensichtlich nicht der Fall. In der /etc/ssh/sshd_config war die Zeile ListenAddress-Zeile auskommentiert. Ich hab' jetzt

Code:

ListenAddress 192.168.2.1

ergaenzt und somit dafuer gesorgt, dass ein ssh-Zugriff nur noch von interner Seite aus moeglich ist.

Bleibt also immer noch die Frage: warum hat es vorher nicht geklappt?

Mit PAM kann man auch noch weitere Möglichkeite nutzen.

Das hier ist die /etc/pam.d/sshd von firewall

Code:

auth       required     pam_unix.so shadow nodelay use_first_pass
auth       required     pam_nologin.so
auth       required     pam_shells.so
account    required     pam_unix.so
account    requisite    pam_time.so
password   required     pam_unix.so shadow use_authtok
session    required     pam_unix.so
session    required     pam_limits.so

Wenn ich das richtig verstanden habe, gibt's hier auch keinen Grund dafuer, dass der Zugriff von aussen nicht klappt.


ciao
Norbert

[HirschHeisseIch]

Naja, ich tipp jetzt einfach mal auf verbogene iptables-Regeln...

[HirschHeisseIch]

Wenn das geht, (wie?) dann ist das ja vielleicht genau das, was bei mir momentan eingestellt ist.

Probier doch einfach aus, als User drauf zu kommen...