Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: jarda66 11. 06. 2016, 08:40:14
-
Ahoj prosím o radu ,
mám svůj domácí server na který se připojuju přes ssh. Přistupuju z mnoha ip a stává se mi, že z některých IP mě píše při připojení connection refused. Stejně tak mi běží minecraftí server a ten taky z těch určitých IP nejede .
Iptables nemám zkonfigurovaný takže tím to není, hosts.deny je prázdný . Zkoušel jsem do hosts.allow dát ty ip , které nejedou , ale stejně to nefunguje (např. all: ip, nebo sshd: ip atd...) . Jediné co pomohlo když jsem dal ALL:ALL
což ale předpokládám je velmi nebezpečné .
Hledal jsem v těchto log souborech. messages nebo auth.log , ale tam to připojení vůbec nevznikne takže netuším proč to z určitých IP adres nejde , můžete prosím poradit ?
Sry jsem začátečník. Ale evidentně se to netýká jen ssh, ale všech připojení . Ještě mě napadá, že ten stroj do internetu je strčený pres router kde mám nastaveno DMZ ip adresu toho linuxového serveru .
díky
-
Je potřeba provést provést standardní debugování sítě.
Sniffovat provoz na obou stranách (případně i všude po cestě, kde máš tu možnost -- např. na svém routeru, na vzdáleném routeru v koordinaci se správcem sítě… (to vyžaduje otravování jiných lidí, takže bych to dělal až potom, co vyčerpáš ostatní možnosti)) v okamžiku, kdy k neúspěšnému spojení dochází. Jdou pakety z odchozího počítače správným směrem? Přišly na cílový počítač a odešla z tohoto počítače odpověď taktéž správným směrem? Connection refused znamená, že jsi dostal RST paket. Vygeneroval ho tvůj počítač nebo někdo cestou? Stává se to na různé TCP porty, neprochází ani UDP a ICMP? Kde končí tcptraceroute na port a kde UDP/ICMP traceroute?
Software: wireshark, tcpdump.
-
Kdyz o tom spojeni neni nic v auth.log. tak tam asi ani nedolezlo. Tak me napada, ze jestli se na ten server pripojujete ne podle ip, ale podle nejakeho dynamickeho DNS, pricemz treba pouzivate DNS server, ktery vam predhodi DHCP, tak na tech sitich, kde to nejde, by mohli mit nejaky dokurveny DNS server, ktery nejake dynamicke DNS vubec neresi nebo updatuje adresy s mesicnim zpozdenim. Pokud to tak je, zkuste si nastavit natvrdo treba DNS server z http://www.censurfridns.dk.
-
..ten stroj do internetu je strčený pres router kde mám nastaveno DMZ ip adresu toho linuxového serveru ...
asi bych zkusil nakonfit iptables, a připíchnout ten server rovnou ke konektivitě, a kouknout se, co to udělá.
Už se mi stalo, že routovací schopnosti domácího "routeru" nebyly tak vynikající, jak se zdály.
-
Za vším hledej NAT.
Pokud je to síť 192.168.1.x, ta je za NATem ISP, který má třeba 10.1.1.1.x, pak internet a síť se serverem, která jede zase na 10.1.1.x, tak to skončí v té první desítkové síti.
Nejjednodušší bude přečíslovat vnitřní síť a zkusit to znovu... Nebo IPv6, tam je kolize brutálně nepravděpodobná.
-
Za vším hledej NAT.
Pokud je to síť 192.168.1.x, ta je za NATem ISP, který má třeba 10.1.1.1.x, pak internet a síť se serverem, která jede zase na 10.1.1.x, tak to skončí v té první desítkové síti.
Nejjednodušší bude přečíslovat vnitřní síť a zkusit to znovu... Nebo IPv6, tam je kolize brutálně nepravděpodobná.
Čo? :o
-
Čo? :o
Ale nič, nenech se rušit, přece ten NAT nikomu nevadí a nic nerozbíjí a všem všechno funguje. ;D
-
Čo? :o
Ale nič, nenech se rušit, přece ten NAT nikomu nevadí a nic nerozbíjí a všem všechno funguje. ;D
Ved pisal ze ten server je v DMZ a nie v LAN...
-
Ved pisal ze ten server je v DMZ a nie v LAN...
Jo, a hlavně tam písal, že to "z některých IP mě píše při připojení connection refused." Hádej, čím to bude.
-
Ved pisal ze ten server je v DMZ a nie v LAN...
Ty vubec nevis ktera bije vid? Taky bych to videl na nejakej ten trojitej NAT kterej prece nikomu nemuze vadit. A hlavne, nikdo prece ty adresy nechce!
-
s na co by niekto prevadzkoval DMZ bez verejnej IP?
-
s na co by niekto prevadzkoval DMZ bez verejnej IP?
Ty musíš mít bohatý rodiče - tak dlouhej kabel se jen tak nevidí... ::) ;D
-
s na co by niekto prevadzkoval DMZ bez verejnej IP?
Ty musíš mít bohatý rodiče - tak dlouhej kabel se jen tak nevidí... ::) ;D
Pocuvaj ty čurino chovas sa ako pako. Vzdy a vsade uz by ti to mal niekto povedat.
-
Pocuvaj ty čurino chovas sa ako pako. Vzdy a vsade uz by ti to mal niekto povedat.
Představ si, že když budu mít na OBOU stranách veřejnou IP a na obou stranách LAN nebo DMZ třeba v oblíbeném subnetu 192.168.1.0/24, a zkusím mezi tím vytvořit VPN, tak - světe div se - ono to nebude fungovat. Hmmm, divný, co?
Tak, a teď podojit ovce, doplnit hladinu bryndzy a hybat do hajan.
-
Tu je tak zalostne malo informaci o stavajucom pripojeni, ze si tu polovicka fesakov honi brko nad vestiacou gulou. Ale ked im to je vsetko jasne, aj bez znalosti ako to chlapec vlastne ma zkonfigurovane. Tak jasne.. navazajte sa. Chodite na forum a naco? honit ega ja viem.
-
Tak, a teď podojit ovce, doplnit hladinu bryndzy a hybat do hajan.
A inak jednu by si si fakt vysluzil, privela si dovolujes na ludi.
-
Pocuvaj ty čurino chovas sa ako pako. Vzdy a vsade uz by ti to mal niekto povedat.
Představ si, že když budu mít na OBOU stranách veřejnou IP a na obou stranách LAN nebo DMZ třeba v oblíbeném subnetu 192.168.1.0/24, a zkusím mezi tím vytvořit VPN, tak - světe div se - ono to nebude fungovat. Hmmm, divný, co?
Tak mi jaksi unika, jak to souvisi s pripojenim na ssh. A kdyby ten server mel nekde za devatero horami, devatero doly a devatero NATy, tak bych predpokladal, ze se na nej nedostane nikdy a z zadne site, ne jen z nekterych siti.
-
jarda66:
a) Distribuce?
b) Proc je tvuj soubor hosts.allow tak tajny, ze ho nam nechces ukazat?
c) hosts.allow a hosts.deny nejsou vselek - treba udp vubec neovlivnuji, takze bych doporucoval vratit tam originaly a ochranu resit pres iptables nebo nadstavbu iptables, pokud tam nejakou mas.
d) Pokud jsou v systemu iptables, tak jsou vzdycky zkonfigurovane. Jde jen o to, jestli dobre nebo spatne :)
-
Tak to napíšu ještě jednou pomalu pro ty, co neumí rychle číst.
1) Pokud má 1x veřejnou IP, LAN (nebo DMZ) za svým NATem, potřebuje na tom NATu mít privátní rozsah adres. Řekněme, že server bude na 10.1.1.5
2) Pokud leze z veřejné sítě na svou IP adresu s pomocí VPN, normálně se připojí do svojí sítě a komunikuje z 10.1.1.5, jako by se nechumelilo.
3) Pokud tam leze z cizí NATované sítě, jede to úplně stejně.
4) S výjimkou toho, kdy ta cizí NATovaná síť používá 10.1.1.0/255.255.255.0. Potom se spojení na server zkouší v té cizí síti a požadavek neproleze ani do internetu, natož na jeho veřejnou IP adresu. Přímo viditelná IP má přednost před VPN.
5) Ani nemusí vědět, že leze skrz síť se stejnou IP, jako má jeho DMZ. CGNAT u ISP, který má 1024 adres pro 100k účastníků, maskovaný routerem s NATem v domácnosti kamaráda, od kterýho se pokouší připojit... na souseda, místo na svoje VPN. A při tom má přidělenou IP třeba 192.168.0.230. Klasika.
6) Ověřit se to dá jednoduše pomocí tracert na jeho veřejnou IP. Pokud se tam objeví IP adresa z rozsahu jeho DMZ, je to jasný.
Řešení: GOTO IPv6 (nebo nastavit adresu DMZ tak, aby se nikdo nemohl do jeho rozsahu trefit ani s NATem, ani s CGNATem. A to prakticky nejde). Ona ani ta veřejná IPv4 totiž už dneska není žádná záruka připojení :(
-
2) Pokud leze z veřejné sítě na svou IP adresu s pomocí VPN, normálně se připojí do svojí sítě a komunikuje z 10.1.1.5, jako by se nechumelilo.
3) Pokud tam leze z cizí NATované sítě, jede to úplně stejně.
Já to pochopil tak, že má port forward. Kdyby měl VPN, tak by to snad do dotazu napsal (a např. by napsal, že VPN se připojí, ale SSH pak už ne, nebo že se nepřipojí ani VPN).
-
Psal
"Sry jsem začátečník. Ale evidentně se to netýká jen ssh, ale všech připojení . Ještě mě napadá, že ten stroj do internetu je strčený pres router kde mám nastaveno DMZ ip adresu toho linuxového serveru ."
Z toho jsem pochopil, že se patrně jedná o cosi za NATem. A po SSH se dá přistupovat i v rámci VPN.
Ale je fakt, že ještě může mít blokovaný standardní port pro SSH u některých ISP. Co kdyby se jim někdo pokusil nakonfigurovat některý jejich zařízení? Asi je pro ně nepřekonatelný problém si to zabezpečit certifikátem místo hesla 1234 a změnit port pro management... :Q
-
Tak to napíšu ještě jednou pomalu pro ty, co neumí rychle číst.
Jestli je tazatel hornak nebo dolnak jsi taky z jeho dotazu schopen zjistit?
Co kdyz proste ma natovaci krabicku s moznosti nastavit urcitou vnitrni adresu jako "DMZ" (co neprichazi zvenci jako soucast odchozich spojeni se preposila na tuto ip adresu)?
Vic bych za tim nehledal.
-
Pro tazatele: taky se muze stat, ze problem s preposilanim portu 22 (ssh) ma ta tvoje krabicka, protoze sama port 22 pouziva. Hod si na svem serveru ssh na nejaky vysoky port. A jinak bych sel cestou vychozich nastaveni hosts.* a ochrany pomoci iptables.
-
Hlavně si na SSH nedávej port knocking, ve všech zkušenostech, které s tím mám to nedělá problém útočníkovi, ale tobě, když se snažíš vzpomenout si na heslo/vybrat správný klíč.
Jinak v dnešní době si dá SSH na port 22 na veřejnou IPv4 jenom totální blázen, stejně tak není moc dobrý nápad umožnit přihlášení na roota a na normální uživatelský účet heslem.
Za relativně bezpečné osobně považuji klíče, pokud občas potřebuješ dát přístup k serveru někomu jinému, tak podepsané klíče s omezenou časovou platností (absolutně výborná featura, pokud útočník nemá možnost podvrhnout NTP server)
-
[4) S výjimkou toho, kdy ta cizí NATovaná síť používá 10.1.1.0/255.255.255.0. Potom se spojení na server zkouší v té cizí síti a požadavek neproleze ani do internetu, natož na jeho veřejnou IP adresu. Přímo viditelná IP má přednost před VPN.
No to ale samozrejme nemusi byt pravda, pokud v konfiguraci te VPN nastavis, ze veskery provoz potece skrz ni. Popravde bez toho bych do firmy přes VPN třeba ja nikoho nepustil.....
-
Co mate furt s tim VPN? Mluvil tazatel nekde o VPN? Sakra, za chvili tady nekdo odvodi, ze mu to nechodi proto, ze se pripojuje z Argentiny na VPN v Cine a z nej na ten svuj server a problemy dela Velky cinsky firewall.
-
Ahoj prosím o radu ,
netuším proč to z určitých IP adres nejde , můžete prosím poradit ?
Sry jsem začátečník.
atd. atd.
...
Když na to nemáš, vybodni se na to a dělej radši něco jiného. Sbírej známky, začni chlastat nebo tak něco...