Anzeige:
Ergebnis 1 bis 10 von 10

Thema: SSH-Zugang auf Firewall-Rechner hinter Fritzbox Fon 7170

  1. #1
    Registrierter Benutzer
    Registriert seit
    Feb 2008
    Ort
    Berlin
    Beiträge
    5

    SSH-Zugang auf Firewall-Rechner hinter Fritzbox Fon 7170

    Hi allerseits,

    ich moechte gern via ssh aus der Ferne auf meinen Firewall-Rechner zugreifen.

    Mein Netz sieht folgendermassen aus:

    Internet - FBF(192.168.1.2) - (192.168.1.1)firewall(192.168.2.1) - (192.168.2.2)client1

    FBF = Fritzbox Fon 7170, FW 29.04.80
    Auf firewall ist devillinux 1.2.14 installiert
    Auf client1 ist SuSE 11.2 installiert

    Was momentan klappt: Ich kann via ssh auf meinen client1 zugreifen. Dazu geb'
    ich auf meinem Milestone

    # ssh -p 3301 <dyndnsname>

    ein. DynDNS ist auf der Fritzbox eingerichtet. Auf der Fritzbox hab' ich in der ar7.cfg die Regel

    "tcp 0.0.0.0:3301 192.168.1.1:3301 0 # SSH client1"

    hinterlegt, und auf firewall in der Datei

    /etc/init.d/firewall.rules

    die Zeilen

    PORT=22
    SERVER_IP=192.168.2.2 # client1
    DPORT=3301 # port on fritzbox to connect client1
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport $DPORT -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport $PORT -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT

    ergaenzt. Bis hierher klappt also wie gesagt alles. Jetzt moechte ich aber auch via ssh auf den firewall-Rechner direkt rauf. Dazu hab' ich in Analogie zum oben beschriebenem Vorgehen auf der Fritzbox die Regel

    "tcp 0.0.0.0:3302 192.168.1.1:3302 0 # SSH firewall"

    eingegeben, und die firewall.rules um folgende Zeilen ergaenzt

    SERVER_IP=192.168.2.1 # firewall
    DPORT=3302 # port on fritzbox to connect firewall
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport $DPORT -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport $PORT -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT

    Auf firewall ist sshd aktiviert, und funktioniert aus aus dem internen Netz.
    Beim Versuch von meinem MileStone aus

    ssh -p 3302 root@<dyndnsname>

    aufzurufen, kommt irgendwann ein Timeout

    Muss ich noch irgendwas auf dem firewall-Rechner zusaetzlich einstellen, damit der Zugriff aus der Ferne auch funktioniert?

    BTW. Ich hab' auf firewall (devil-linux) leider ein komplett leeres /var/log/messages
    Wie krieg' ich denn raus wohin die System-Logs geschrieben werden?

    ciao
    Norbert

  2. #2
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.276
    Lass mal die Firewall-Regel weg...
    Du willst ja die Pakete "nur" akzeptieren und nicht weiterleiten.

    Zusätzlich solltest vielleicht überprüfen, ob der sshd an ein bestimmtes Interface gebunden ist.

    Wenn die Firewall relativ restriktiv gehalten ist, könntest einen Eintrag wie
    Code:
    iptables -A INPUT -p tcp --dport 3302 -j ACCEPT
    hinzufügen.

    Edit:
    Und nur so am Rande: Root-Login per ssh ist böse. Am besten direkt deaktivieren...
    RTFM you have to, young padawan.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Feb 2008
    Ort
    Berlin
    Beiträge
    5
    Hi,

    Zitat Zitat von HirschHeisseIch Beitrag anzeigen
    Wenn die Firewall relativ restriktiv gehalten ist, könntest einen Eintrag wie
    Code:
    iptables -A INPUT -p tcp --dport 3302 -j ACCEPT
    hinzufügen.
    Das hab' ich probiert und bekomm jetzt immerhin eine Antwort:
    Code:
    Connecting to <dyndnsname>:3302 via ssh
    <dyndnsname>/<ipadress>:3302 - Connection refused
    . . . noch nicht ganz das, was ich mir wuensche

    Zusätzlich solltest vielleicht überprüfen, ob der sshd an ein bestimmtes Interface gebunden ist.
    Leider weiss ich nicht genau wie ich das checke. In der /etc/ssh/sshd_config hab' ich nix gefunden was irgendwie auf ein interface hindeutet. Auch im Startscript /etc/init.d/sshd konnnte ich nichts entdecken.

    Edit:
    Und nur so am Rande: Root-Login per ssh ist böse
    Schon klar. Ich spiel hier nur grade mit meinem Netzwerk ein wenig rum, und wunderte mich, dass ich auf die normalen Clients raufkomme und auf den firewall-Rechner selbst nicht. Falls ich tatsaechlich mal von aussen da raufmuesste wuerde ich mich via ssh mit meinem normalen Account auf einem der Clients einloggen, um von da aus als root auf den firewall-rechner zu huepfen. Trotzdem danke!

    Am besten direkt deaktivieren...
    Wenn das geht, (wie?) dann ist das ja vielleicht genau das, was bei mir momentan eingestellt ist.


    ciao
    Norbert

  4. #4
    Sith Lord
    Registriert seit
    Apr 2009
    Beiträge
    1.438
    Zitat Zitat von NorbertBehrens Beitrag anzeigen
    Wenn das geht, (wie?) dann ist das ja vielleicht genau das, was bei mir momentan eingestellt ist.
    /etc/ssh/sshd_config:
    PermitRootLogin no
    oder
    DenyUsers root

    //edit
    Mit PAM kann man auch noch weitere Möglichkeite nutzen.

  5. #5
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.276
    Zitat Zitat von NorbertBehrens Beitrag anzeigen
    Wenn das geht, (wie?) dann ist das ja vielleicht genau das, was bei mir momentan eingestellt ist.
    Probier doch einfach aus, als User drauf zu kommen...
    RTFM you have to, young padawan.

  6. #6
    Registrierter Benutzer
    Registriert seit
    Feb 2008
    Ort
    Berlin
    Beiträge
    5
    Hi

    hab' mich wohl ein klein wenig missverstaendlich ausgedrueckt:

    Mir geht's nicht in erster Linie darum, von aussen als root auf meinen
    firewall-Rechner zuzugreifen (dass kann ich ja via User-Login auf meine
    Clients, um von dort aus wiederum als root via ssh auf die Firewall zu
    huepfen). Es ist nur so, dass mir beim Herumexperimentieren mit meinem
    Netzwerk aufgefallen ist, dass der root-Zugriff von aussen nicht moeglich ist, und ich
    nicht verstehe warum nicht.

    Zitat Zitat von HirschHeisseIch
    Zusätzlich solltest vielleicht überprüfen, ob der sshd an ein bestimmtes Interface gebunden ist.
    Das war offensichtlich nicht der Fall. In der /etc/ssh/sshd_config war die Zeile ListenAddress-Zeile auskommentiert. Ich hab' jetzt
    Code:
    ListenAddress 192.168.2.1
    ergaenzt und somit dafuer gesorgt, dass ein ssh-Zugriff nur noch von interner Seite aus moeglich ist.

    Bleibt also immer noch die Frage: warum hat es vorher nicht geklappt?

    Zitat Zitat von oziris
    Mit PAM kann man auch noch weitere Möglichkeite nutzen.
    Das hier ist die /etc/pam.d/sshd von firewall

    Code:
    auth       required     pam_unix.so shadow nodelay use_first_pass
    auth       required     pam_nologin.so
    auth       required     pam_shells.so
    account    required     pam_unix.so
    account    requisite    pam_time.so
    password   required     pam_unix.so shadow use_authtok
    session    required     pam_unix.so
    session    required     pam_limits.so
    Wenn ich das richtig verstanden habe, gibt's hier auch keinen Grund dafuer, dass der Zugriff von aussen nicht klappt.


    ciao
    Norbert

  7. #7
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.276
    Naja, ich tipp jetzt einfach mal auf verbogene iptables-Regeln...
    RTFM you have to, young padawan.

  8. #8
    Registrierter Benutzer
    Registriert seit
    Feb 2008
    Ort
    Berlin
    Beiträge
    5
    Hi,

    Zitat Zitat von HirschHeisseIch Beitrag anzeigen
    Naja, ich tipp jetzt einfach mal auf verbogene iptables-Regeln...
    Ich hoffe nicht. Ich hab' in der /etc/init.d/firewall.rules der devil-linux-Distribution nur die fett gedruckten hinzugefuegt:

    Code:
    #!/bin/bash
    #
    # $Source: /cvsroot/devil-linux/build/config/etc/init.d/firewall.rules.2nic,v $
    # $Revision: 1.13.2.3 $
    # $Date: 2005/09/21 12:35:59 $
    #
    # http://www.devil-linux.org
    #
    #
    # Basic Firewall rules for 2 NIC's and NAT
    #
    ###############################################################################
    # *WARNING*  *WARNING*  *WARNING*  *WARNING*  *WARNING*  *WARNING*  *WARNING* #
    #									      #
    #		     MODIFY THIS FILE AT YOUR OWN RISK!!!		      #
    #									      #
    #  Only modify this file if you fully understand firewalling and netfilter!   #
    #  Mistakes can result in loss of security and/or other networking problems.  #
    #									      #
    #  Recommend reading to learn netfilter include (but are not limited to):     #
    #									      #
    #   http://www.knowplace.org/netfilter/syntax.html			      #
    #   http://iptables-tutorial.frozentux.net/chunkyhtml/index.html	      #
    #   http://www.netfilter.org/documentation/index.html#documentation-tutorials #
    #									      #
    # *WARNING*  *WARNING*  *WARNING*  *WARNING*  *WARNING*  *WARNING*  *WARNING* #
    ###############################################################################
    
    # Path to executables
    IPTABLES=/usr/sbin/iptables
    MODPROBE=/sbin/modprobe
    
    OUT_DEV=eth0	# Internet
    INT_DEV=eth1	# Internal/protected network.
    
    # Stop forwarding while setting up.
    echo "0" > /proc/sys/net/ipv4/ip_forward 
    
    # Uncomment the following line to enable logging:
    # LOGGING="yes"
    
    # Uncomment & set the next three vars to activate the BScap captive portal.
    #BSCAP="yes"
    # set to your DNS server IP's: (for BScap)
    #DNSHOSTS="192.168.1.254 192.168.9.254"
    # set to your private IP range: (for BScap)
    #CAPNET="192.168.1.0/24"
    
    # Optional Modules:
    ${MODPROBE} ip_conntrack_ftp
    ${MODPROBE} ip_nat_ftp
    ${MODPROBE} ip_conntrack_irc
    ${MODPROBE} ip_nat_irc
    #${MODPROBE} ip_owner
    ${MODPROBE} ipt_state
    
    # Only needed if we're going to log.
    [ -n "$LOGGING" ] && ${MODPROBE} ipt_LOG
    
    if [ -n "$BSCAP" ]; then
    	${MODPROBE} ipt_mac
    	${MODPROBE} ipt_mark
    	${MODPROBE} ipt_REDIRECT
    fi
    
    # Flush tables & setup Policy
    ${IPTABLES} -F  # flush chains
    ${IPTABLES} -X  # delete user chains
    ${IPTABLES} -Z	# zero counters
    for t in `cat /proc/net/ip_tables_names`
    do
    	${IPTABLES} -F -t $t
    	${IPTABLES} -X -t $t
    	${IPTABLES} -Z -t $t
    done
    
    ### BEGIN IPTABLES rules ###
    
    ${IPTABLES} -P INPUT DROP	# Policy = DROP
    ${IPTABLES} -P OUTPUT DROP	#  Drop all packets that are
    ${IPTABLES} -P FORWARD DROP	#  not specifically accepted.
    
    # make interactive sesions a bit more interactive under load
    ${IPTABLES} -t mangle -N SETTOS
    ${IPTABLES} -A SETTOS -t mangle -p TCP --sport ssh -j TOS --set-tos Minimize-Delay
    ${IPTABLES} -A SETTOS -t mangle -p TCP --sport ftp -j TOS --set-tos Minimize-Delay
    ${IPTABLES} -A SETTOS -t mangle -p TCP --sport ftp-data -j TOS --set-tos Maximize-Throughput
    
    # Local interface - do not delete!
    ${IPTABLES} -A INPUT -i lo -j ACCEPT
    ${IPTABLES} -A OUTPUT -o lo -j ACCEPT
    
    # We accept anything from the inside.
    ${IPTABLES} -A INPUT -i ${INT_DEV} -j ACCEPT
    ${IPTABLES} -A OUTPUT -o ${INT_DEV} -j ACCEPT
    
    # Allow our firewall to connect.
    ${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    ${IPTABLES} -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    
    # Allow Ping and friends.
    ${IPTABLES} -A INPUT  -p icmp -j ACCEPT
    ${IPTABLES} -A OUTPUT -p icmp -j ACCEPT
    
    # Fast reject for Ident to eliminate email delays.
    ${IPTABLES} -A INPUT -p TCP --dport 113 -i ${OUT_DEV} -j REJECT --reject-with tcp-reset
    
    # Uncomment/modify the next 4 lines to forward a service to an internal IP.
    # SERVER_IP=192.168.1.1	# Internal IP of server.
    
    PORT=22		       # 22 = SSH.  Change to 80 for web server, etc.
    
    # SERVER_IP=192.168.22.1 # thompson
    DPORT=XXX1             # port on fritzbox to connect thompson
    # ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport ${DPORT} -j DNAT --to ${SERVER_IP}:${PORT}
    # ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport ${PORT} -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT
    ${IPTABLES} -A INPUT -p TCP --dport ${DPORT} -j ACCEPT
    
    SERVER_IP=192.168.22.2 # collins
    DPORT=YYY2             # port on fritzbox to connect collins
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport ${DPORT} -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport ${PORT} -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT
    
    SERVER_IP=192.168.22.3 # rutherford
    DPORT=YYY3             # port on fritzbox to connect rutherford
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport ${DPORT} -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport ${PORT} -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT
    
    SERVER_IP=192.168.22.4 # banks
    DPORT=YYY4             # port on fritzbox to connect banks
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport ${DPORT} -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport ${PORT} -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT
    
    SERVER_IP=192.168.22.5 # genesis
    DPORT=YYY5             # port on fritzbox to connect genesis
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport ${DPORT} -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport ${PORT} -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT
    
    SERVER_IP=192.168.22.6 # greg
    DPORT=YYY6             # port on fritzbox to connect greg
    ${IPTABLES} -A PREROUTING -i ${OUT_DEV} -t nat -p TCP --dport ${DPORT} -j DNAT --to ${SERVER_IP}:${PORT}
    ${IPTABLES} -A FORWARD -p TCP -d ${SERVER_IP} --dport ${PORT} -i ${OUT_DEV} -o ${INT_DEV} -j ACCEPT
    
    # Uncomment/modify the next 2 lines to open a port on the internet to Devil Linux.
    # PORT=25		# 25 = SMTP.  Change to the port you wish to open.
    # ${IPTABLES} -A INPUT -p tcp --dport $PORT -i ${OUT_DEV} -j ACCEPT
    
    ${IPTABLES} -t mangle -A PREROUTING -j SETTOS
    
    if [ -n "$BSCAP" ]; then
    	# Uncomment chmod if BScap is diskless and htdocs is under /root
    	# chmod a+x /root
    	# Block outgoing port 25 to prevent spam from being sent
    	[ -n "$LOGGING" ] && \
    	  ${IPTABLES} -A FORWARD -p tcp --dport 25 -i ${OUT_DEV} -j LOG --log-prefix "Outgoing email: "
    	${IPTABLES} -A FORWARD -p tcp --dport 25 -i ${OUT_DEV} -j REJECT
    	# Open up 443 (https) for BScap admin connections from the outside.
    	# Add a "-s" to limit the connections to a specific network or IP.
    	${IPTABLES} -A INPUT -p tcp --dport 443 -i ${OUT_DEV} -j ACCEPT
    	# Open up 22 (SSH) for remote DL administration
    	# Add a "-s" to limit the connections to a specific network or IP.
    	${IPTABLES} -A INPUT -p tcp --dport 22 -i ${OUT_DEV} -j ACCEPT
    	# Chain for BScap rules (manipulated externally with PHP)
    	${IPTABLES} -t mangle -N BScap
    	${IPTABLES} -t mangle -A PREROUTING -i ${INT_DEV} -j MARK --set-mark 0x4
    	${IPTABLES} -t mangle -A PREROUTING -j BScap
    	# Redirect all unauthenticated Internet access to local web server
    	${IPTABLES} -t nat -A PREROUTING -p tcp -m mark --mark 0x4 --dport 80 -j REDIRECT --to-ports 80
    	${IPTABLES} -t nat -A PREROUTING -p tcp -m mark --mark 0x4 --dport 443 -j REDIRECT --to-ports 443
    	# Always allow DNS lookups
    	for h in $DNSHOSTS
    	do
    		${IPTABLES} -t nat -A POSTROUTING -s ${CAPNET} -d $h -p tcp --dport 53 -j MASQUERADE
    		${IPTABLES} -t nat -A POSTROUTING -s ${CAPNET} -d $h -p udp --dport 53 -j MASQUERADE
    	done
    	# Allow only BScap authenticated IP/MAC combo's access to Internet (Masquerading)
    	${IPTABLES} -t nat -A POSTROUTING -o ${OUT_DEV} -m mark --mark 0x2 -j MASQUERADE
    else
    	# Masquerading for everyone (aka NAT, PAT, ...)
    	${IPTABLES} -t nat -A POSTROUTING -o ${OUT_DEV} -j MASQUERADE
    fi
    
    # Block invalid connections from the internet.
    [ -n "$LOGGING" ] && \
      ${IPTABLES} -A FORWARD -m state --state NEW,INVALID -i ${OUT_DEV} -j LOG --log-prefix "FORWARD INVALID: "
    ${IPTABLES} -A FORWARD -m state --state NEW,INVALID -i ${OUT_DEV} -j DROP
    
    # Allow connections to the internet from the internal network.
    ${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    ${IPTABLES} -A FORWARD -m state --state NEW -i ${INT_DEV} -j ACCEPT
    
    # Prevent NetBIOS and Samba from leaking.
    ${IPTABLES} -t nat -A PREROUTING -p TCP --dport 135 -j DROP
    ${IPTABLES} -t nat -A PREROUTING -p UDP --dport 135 -j DROP
    ${IPTABLES} -t nat -A PREROUTING -p TCP --dport 137:139 -j DROP
    ${IPTABLES} -t nat -A PREROUTING -p UDP --dport 137:139 -j DROP
    ${IPTABLES} -t nat -A PREROUTING -p TCP --dport 445 -j DROP
    ${IPTABLES} -t nat -A PREROUTING -p UDP --dport 445 -j DROP
    
    # Log invalid packets from DROP policy:
    if [ -n "$LOGGING" ] ; then
        ${IPTABLES} -A INPUT -d 255.255.255.255 -j DROP # do not log broadcasts
        ${IPTABLES} -A INPUT -d 224.0.0.0/8 -j DROP # do not log Microsoft multicasts
        ${IPTABLES} -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT policy: "
        ${IPTABLES} -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "OUTPUT policy: "
        ${IPTABLES} -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "FORWARD policy: "
    fi
    
    ### END IPTABLES rules ###
    
    # enable dynamic IP address following
    echo 2 > /proc/sys/net/ipv4/ip_dynaddr
    
    # stop some smurf attacks.
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    
    # Don't accept source routed packets.
    echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
    
    # Syncookies
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    
    # Stop IP spoofing,
    for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
    	echo "1" > $interface
    done
    
    # Stop ICMP redirect
    for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
    	echo "0" > ${interface}
    done
    
    # Enable bad error message protection.
    echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    
    # Enabling IP forwarding.
    echo "1" > /proc/sys/net/ipv4/ip_forward
    ciao
    Norbert

  9. #9
    Registrierter Benutzer
    Registriert seit
    Apr 2008
    Beiträge
    352
    ich bin ja nicht so der geek, aber mir hat bei einem timeout Problem die -vvv Option von ssh sehr geholfen. Ein -v hat da nicht gereicht, das zweite war seeeeehr hilfreich und das dritte schon wieder etwas viel.
    Ist nur mal so ein Erfahrungsbericht.

  10. #10
    Registrierter Benutzer
    Registriert seit
    Feb 2008
    Ort
    Berlin
    Beiträge
    5
    Hi,

    Zitat Zitat von delix Beitrag anzeigen
    ich bin ja nicht so der geek, aber mir hat bei einem timeout Problem die -vvv Option von ssh sehr geholfen. Ein -v hat da nicht gereicht, das zweite war seeeeehr hilfreich und das dritte schon wieder etwas viel.
    Ist nur mal so ein Erfahrungsbericht.
    Danke fuer den Tip. Hab's mal ausprobiert. Das ist das Ergebnis:

    Code:
    <localuser>@rutherford:~> ssh -p <xxx1> root@<dyndnsname>
    ssh: connect to host <dyndnsname> port <xxx1>: Connection refused
    <localuser>@rutherford:~> ssh -vv -p <xxx1> root@<dyndnsname>
    OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Applying options for *
    debug2: ssh_connect: needpriv 0
    debug1: Connecting to <dyndnsname> [91.63.149.78] port <xxx1>.
    debug1: connect to address 91.63.149.78 port <xxx1>: Connection refused
    ssh: connect to host <dyndnsname> port <xxx1>: Connection refused
    <localuser>@rutherford:~>
    Das bemerkenswerte(seltsame/erschreckende) daran ist: Ich hab's einmal mit
    Code:
    ListenAddress 192.168.2.1
    in der /etc/ssh/sshd_config probiert und einmal mit
    auskommentierter Zeile. Beide Male bekam ich die gleiche
    oben dargestellte Meldung (Ja, ich hab' zwschendurch den sshd
    mit /etc/init.d/sshd restart neu gestartet )

    Das erhaertet jetzt meinen Verdacht, dass in der devil-linux-Distri irgendwo
    eine Einstellung existiert, die dafuer sorgt, dass ein Zugriff von aussen auf
    den Port 22 nicht moeglich ist.

    Daher hab' ich mal den ssh-Port umgelegt, von 22 auf 2222 mit Hilfe der Zeile
    Code:
    PORT 2222
    in der /etc/ssh/sshd_config. Nach einem Restart des sshd konnte ich mich mit
    Code:
    ssh -p 2222 thompson
    nicht einloggen. Allerdings funktionierte seltsamerweise
    Code:
    ssh root@thompson
    noch. Jetzt hab' ich den starken Verdacht, dass die Datei /etc/ssh/sshd_config
    gar nicht ausgelesen wird. Bitte sagt mir dass ich mich irre

    ciao
    Norbert

Ähnliche Themen

  1. Hilfe bei Firewall Script
    Von NashRaider im Forum Router und Netzaufbau
    Antworten: 2
    Letzter Beitrag: 05.12.07, 11:01
  2. Fritz!Box Fon 7050 hinter Firewall
    Von Jigsore im Forum Anbindung an die Aussenwelt
    Antworten: 1
    Letzter Beitrag: 28.06.05, 15:02
  3. Antworten: 24
    Letzter Beitrag: 18.03.05, 08:22
  4. Squid und Iptables
    Von xx11xx im Forum Router und Netzaufbau
    Antworten: 5
    Letzter Beitrag: 31.05.02, 09:55
  5. Problem mit Firewall IPCHAINS
    Von Zambo im Forum Router und Netzaufbau
    Antworten: 4
    Letzter Beitrag: 31.10.01, 22:37

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •