Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Karlos 13. 06. 2014, 09:29:22

Název: SSH za firewallem někdy nefunguje
Přispěvatel: Karlos 13. 06. 2014, 09:29:22

Zdravím, chtěl bych se zeptat na vaše názory, co s následující situací:
Doma mám server s veřejkou a chtěl bych se na něj připojovat ze zaměstnání. Jenže mám povolené porty 443, 80 a 21. Proto jsem na serveru udělal

Kód: [Vybrat]

iptables -t nat -A PREROUTING -i $verejne_rozhr -p tcp --dport 21 -s $vzdalena_adr -j REDIRECT --to-port 22Z mobilu se na ssh i sftp připojím bez problémů, stahuji soubory, popř. mp3 rovnou přehrávám. Problém nastává u NB s Mint 17. Nemo se odmítá připojit úplně, NetBeans projekt stáhnul, ale už odmítá uložit změny a Filezilla se připojí, můžu procházet - soubory vidím, ale nemůžu stáhnout.
Z NB funguje telnet na 21, ale ne ping. Myslím si, že je to zabezpečením na FW v práci, ale kdybych dosáhnul fungování alespoň tak, jako z mobilu, stačilo by. Co je tam jinak?

Název: Re:ssh za firewallem - kde může být problém?
Přispěvatel: Joska 13. 06. 2014, 09:40:48

No a co teda pise z prace pustene ssh?

Název: Re:ssh za firewallem - kde může být problém?
Přispěvatel: Karlos 13. 06. 2014, 10:14:08

Na NB timeout. Log na serveru sjedu důkladně hned jak budu doma, ale IP z práce mám ve whitelistu.

Název: Re:ssh za firewallem - kde může být problém?
Přispěvatel: M. 13. 06. 2014, 10:20:35

Prvně bych zkusil z práce telnet <IPdoma> 21, co ti to ukáže, měl by jsi uvidět úvodní SSH hlavičku, něco jako např. "SSH-2.0-OpenSSH_5.6". Pro kontorlu, že přesměrování na SSH funguje, pak můžeš zkoušet to ssh <IPdoma> -P21.
Že nefunguje ping ven je si v pořádku, firemní firewall ho nepustí. Pak záleží, jak je ten firewall chytrý a zda dělá zkoumání obsahu provozu, pokud ano a ví, že na portu 21 má být FTP protokol, tak ti to může shazovat, když tam vidí něco jiného, než čeká (může tma být i transparentní proxy server, který ti to také shodí, když neuvidí FTP přípazy).

Název: Re:ssh za firewallem - kde může být problém?
Přispěvatel: smoofy 13. 06. 2014, 10:34:16

mas tam:

Kód: [Vybrat]

-s $vzdalena_adrTo mas vsechny zarizeni v praci pripojeny na stejnej NAT se stejnou IP kterou tam zadavas?

Název: Re:ssh za firewallem - kde může být problém?
Přispěvatel: Karlos 13. 06. 2014, 10:39:23

Telnet z mobilu funguje ok, připojí se na ssh a ne na ftp. Z NB se jakože připojí, ale nic nenapíše (když se telnetnu doma na 21, připojí se na ftp, což je v pořádku.) Taky to vidím na nějaké filtrování provozu. Ale proč ten mobil (NOTE 2) funguje jak má?
Jinak bych asi udělal ftps normálně přes 21, nešifrované se mi to nechce pouštět.

smoofy: Ano, NB i mobil připojeno přes místní wifi, IP ověřena přes net.

Název: Re:SSH za firewallem někdy nefunguje
Přispěvatel: Karlos 13. 06. 2014, 21:37:21

Tak z logů jsem toho moc nevyčetl, opakuje se cca po 20-30 sec. úspěšné přihlášení

Kód: [Vybrat]

Accepted password for ... from .... port 47848 ssh2
debian sshd[1739]: pam_unix(sshd:session): session opened for user ... by (uid=0)
debian sshd[1744]: subsystem request for sftp by user ... (to jsem zkoušel připojení z Nema), občas se objevila hláška "Bad protocol version identification".
Funkční připojení z mobilu vyhodí tentýž výsledek, ale aspoň funguje.
Zapomněl jsem - Putty z Mintu funguje, ssh z terminálu už ne.
Místo přesměrování portu 21 jsem zkoušel 443 a stejný výsledek.

Název: Re:SSH za firewallem někdy nefunguje
Přispěvatel: ByCzech 14. 06. 2014, 00:32:33

Já osobně to vidím na problém s použitím portu 21, který je vyhrazen na FTP. Na firewallu v práci je pravděpodobně helper pro spojení na FTP, nebo FTP proxy ap. Zkus jiný port (443, 80), který NAT v práci propustí a uvidíš...

Název: Re:SSH za firewallem někdy nefunguje
Přispěvatel: ByCzech 14. 06. 2014, 00:35:03

Omlouvám se, nečetl jsem poslední zprávu... Port 443 taky nejede jak vidno, co parametr -v pro ssh případně vícekrát v pro pokus o spojení?