Re: Problem z ssh i ping

[Michał Byrecki]

On Fri, 9 May 2003 12:38:50 +0200
"Jarek Michalak" <[EMAIL PROTECTED]> wrote:
> klienckich dziala prawidlowo. Problem mam z pingowaniem adresu
> publicznego interfejsu wyjsciowego do ISP (eth0 po mojej stronie) z
> zewnatrz.

To wstaw: iptables -A INPUT -p icmp -i eth0 -j ACCEPT i będą chodziły
pingi. SSh powinno działać. Może pokaż, co opokazuje iptables -L?

-- 
Pozdrawiam,
Michał Byrecki

/* Play me online? Well, you know that I'll beat you
   If I ever meet you I'll control-alt-delete you */

Re: Problem z ssh i ping

[Andrzej Dalasinski]

Dnia Fri, May 09, 2003 at 12:38:50PM +0200 Jarek Michalak napisał/a:
> Witam.
> Mam router na Debianie Woodym z firewallem. Siec na adresach publicznych. 
> Najwazniejsze linie to:
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 0 > /proc/sys/net/ipv4/tcp_ecn
> iptables -P INPUT DROP
> iptables -A INPUT -i ! eth0 -j ACCEPT
po co ci to?

> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
> iptables -A INPUT -p udp --dport 22 -m state --state NEW -j ACCEPT
> iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
> iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
a nie wystarczy ci:
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_ecn
iptables -P INPUT DROP
iptables -A INPUT -i ethx -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ethx -p udp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ethx -m state --state ESTABLISHED,RELATED -j ACCEPT


co ci daja te wycudaczone regolki?
pzdr
yanek
-- 
,,Weź przeczytaj chociaż jeden dokument o systemie DNS.
  Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.''
- Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)
 

Re: Problem z ssh i ping

[Jacek Kawa]

Jak podają anonimowe źródła, przepowiedziano, że Rafał Członka napisze:

> Popraw mnie jeśli się mylę:

man iptables -> los pakietu po -j ACCEPT

> > iptables -P INPUT DROP
> domyślna polityka na DROP
> > iptables -A INPUT -i ! eth0 -j ACCEPT
> akceptujesz wszystkie pakiety na wszystkie interfejsy oprócz eth0

czyli następne regułki nie dotyczą już niczego, co nie wchodzi przez
eth0

> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

czyli następne nie dotyczą już niczego, co należy do nawiązanego
połączenia

> > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
> > iptables -A INPUT -p udp --dport 22 -m state --state NEW -j ACCEPT

czyli następne nie dotyczą prób nawiązania połączeń z ssh 

> Może spróbuj określić tutaj interfejs(y)?

od drugiej wszystkie regułki będą pasowały tylko do -i eth0

> > iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
> > iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with 
> > icmp-port-unreachable
> odrzucasz wszystko co przychodzi na interfejs eth0

Nie tyle odrzucanie, a wysłanie informacji, że nic tam nie ma.
Przypadkiem załapie się na to ident/auth, więc nie powinno być 
specjalnych opóźnień przy połączeniu do ssh.

> Spróbuj odrzucić tylko to co wyraźnie określisz.

Trochę bez sensu, jeśli można to zrobić lepiej. Nie wydaje mi się, 
żeby brak możliwości połączenia z ssh wynikał z tych regułek,
ale przy diagnozowaniu może się przydać logowanie całego pozostałego 
ruchu przed dwoma ostatnimi regułkami.

Pozdrawiam

-- 
Jacek Kawa   **So, logically...  If she weighs the same as a duck,
she's made of wood. And therefore-? A witch! A witch!**

Re: Problem z ssh i ping

[Rafa³ Cz³onka]

Dnia Fri, May 09, 2003 at 12:38:50PM +0200, Jarek Michalak napisał(a):
> Witam.

Cześć!

Popraw mnie jeśli się mylę:

> iptables -P INPUT DROP

domyślna polityka na DROP

> iptables -A INPUT -i ! eth0 -j ACCEPT

akceptujesz wszystkie pakiety na wszystkie interfejsy oprócz eth0

> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
> iptables -A INPUT -p udp --dport 22 -m state --state NEW -j ACCEPT

Może spróbuj określić tutaj interfejs(y)?

> iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
> iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable

odrzucasz wszystko co przychodzi na interfejs eth0

Spróbuj odrzucić tylko to co wyraźnie określisz.

Pozdrawiam
-- 
Rafał Członka

e-mail/JID  rafi[at]jabberpl.org

Re: Problem z ssh i ping

[Jacek Kawa]

Jak podają anonimowe źródła, przepowiedziano, że Jarek Michalak napisze:

> Witam.
> Mam router na Debianie Woodym z firewallem. Siec na adresach publicznych. 
> Najwazniejsze linie to:
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 0 > /proc/sys/net/ipv4/tcp_ecn
[...]
> Caly routing na adresach publicznych podnosi sie automatycznie i INTERNET na 
> komputerach klienckich dziala prawidlowo. Problem mam z pingowaniem adresu 
> publicznego 
> interfejsu wyjsciowego do ISP (eth0 po mojej stronie) z zewnatrz. 

Jeśli dobrze zrozumiałem, to spróbuj:
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

> Interfejs po stronie ISP odpowiada bez problemu. Drugi problem to mimo 
> otwarcia portu 22 nie moge polaczyc sie z serwerem ssh z zewnatrz. Lokalnie 
> usluga dziala prawidlowo. Czy mozecie mi pomoc?

może blokujesz sobie dostęp dalej:
man 5 hosts_access 

Poza tym pooglądaj logi (aczkolwiek mam nadzieję, że już to zrobiłeś),
spróbuj użyć opcji -v ssh  itp.

Pozdrawiam

-- 
Jacek Kawa  **Logic is blind and often knows
only its own past. [F.Herbert]**

Problem z ssh i ping

[Jarek Michalak]

Witam.
Mam router na Debianie Woodym z firewallem. 
Siec na adresach publicznych. Najwazniejsze linie to:
echo 1 > 
/proc/sys/net/ipv4/ip_forwardecho 0 > 
/proc/sys/net/ipv4/tcp_ecn
iptables -P INPUT 
DROPiptables -A INPUT -i ! eth0 -j ACCEPTiptables 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A 
INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPTiptables -A 
INPUT -p udp --dport 22 -m state --state NEW -j ACCEPTiptables 
-A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-resetiptables -A 
INPUT -p udp -i eth0 -j REJECT --reject-with 
icmp-port-unreachable
 
Caly routing na adresach publicznych podnosi 
sie automatycznie i INTERNET na komputerach klienckich dziala prawidlowo. 
Problem mam z pingowaniem adresu publicznego interfejsu wyjsciowego do ISP (eth0 
po mojej stronie) z zewnatrz. Interfejs po stronie ISP odpowiada bez problemu. 
Drugi problem to mimo otwarcia portu 22 nie moge polaczyc sie z serwerem ssh z 
zewnatrz. Lokalnie usluga dziala prawidlowo. Czy mozecie mi pomoc?
 

Re: Problem z ssh

[Bartosz Marek]

Witam, 
znalazłem rozwiazanie. Po instalacji pakietu linuxlogo, zostal utworzony
plik /etc/nologin z jakas zawartoscia. Wystarczylo go wywalic.

Re: Problem z ssh

[Marcin Sochacki]

On Fri, Apr 25, 2003 at 07:41:19PM +0200, Bartosz Marek wrote:
> Nie mogę się dostać na serwer z innego konta jak root.
> Autentykacja kończy się komunikatem: Permission denied
> (publickey,password,keyboard-interactive).

Daj wynik:
ssh -v [EMAIL PROTECTED]

Zajrzyj też do sysloga.

Wanted

Problem z ssh

[Bartosz Marek]

Witam,
mam taki problem:
na serwerze mam ssh w wersji:  OpenSSH_3.4p1 Debian 1:3.4p1-4 z pakietu.
Nie mogę się dostać na serwer z innego konta jak root.
Autentykacja kończy się komunikatem: Permission denied
(publickey,password,keyboard-interactive).
Usiłowałem dostać się lokalnie na konto: ssh [EMAIL PROTECTED]
Każda próba kończy się podobnie jak poprzednio.
Używam tylko wersji drugiej protokołu (dotyczy klienta i serwera).
Żeby było zabawniej: podmieniłem sshd_config na serwerze na sshd_config
z mojej stacji roboczej, na której problem nie występuje.
Nie poskutkwało.
Problem nie dotyczy opcji AllowUsers i DenyUsers w sshd_config.
Proszę o sugestie
Pozdrawiam

barthoosh

Re: problem z ssh

[Mirek Grochowski]

On Wed, 10 Apr 2002, Michał Łodziński wrote:

> > w celu dostania sie na maszyne, zmuszony bylem zalogowac sie najpierw na
> > inny serwer, a dopiero pozniej na moj. Jaka moze byc przyczyna?
>
> 1. blokada na firewallu
>
> 2. nie dopisanie do hosts.allow (jelsi sshd jest kompilniety z libwrapem)
>
punkt 1 sam wyczailem, portsentry to zrobil, ale o p. 2 zapomnialem.
Wczesniej dostalem juz info na piv, wszystko juz dziala. Dzieki.

-- 
mirek


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: problem z ssh

[Michał Łodziński]

> w celu dostania sie na maszyne, zmuszony bylem zalogowac sie najpierw na
> inny serwer, a dopiero pozniej na moj. Jaka moze byc przyczyna?

1. blokada na firewallu

2. nie dopisanie do hosts.allow (jelsi sshd jest kompilniety z libwrapem)

-- 
mihaŁodziński
tel://48.601.94.49.03/ 
-= Pierwszy Lamer Rzeczypospolitej =---


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: problem z ssh

[Robert Pyciarz]

On Wed, Apr 10, 2002 at 03:59:56PM +0200, Mirek Grochowski wrote:
> 
> Przy okazji mam pytanko jak wygenerowac klucz /etc/ssh/ssh_host_key
> potrzebny dla protokolu ssh1?
> 

ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key

rp.

-- 
"Why's it called Ming?" said the Archchancellor, on cue.
The Bursar Terry Pratchettped the pot. It went *ming*.
-- (Terry Pratchett, Moving Pictures)


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: problem z ssh

[Mirek Grochowski]

On Wed, 10 Apr 2002, Robert Pyciarz wrote:

> On Wed, Apr 10, 2002 at 02:56:01PM +0200, Mirek Grochowski wrote:
> > Witam.
> > Mam problem z ssh, probujac sie zalogowac dostaje:
> > [EMAIL PROTECTED]:~$ ssh [EMAIL PROTECTED]
> > ssh_exchange_identification: Connection closed by remote host
> >
> > w celu dostania sie na maszyne, zmuszony bylem zalogowac sie najpierw na
> > inny serwer, a dopiero pozniej na moj. Jaka moze byc przyczyna?
> >
>
> Prawdopodobnie niezgodność wersji ssh (klient obsługujący tylko ssh1
> a serwer ssh2).
>
Raczej nie. Faktem jest, ze serwer obsluguje tylko protokol ssh2, jednak
klient obsluguje obydwa. Sprawdzone, bo dziala
ssh [EMAIL PROTECTED] -2
na inne serwery, tylko z jednym jest problem.

Przy okazji mam pytanko jak wygenerowac klucz /etc/ssh/ssh_host_key
potrzebny dla protokolu ssh1?

-- 
mirek


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: problem z ssh

[Robert Pyciarz]

On Wed, Apr 10, 2002 at 02:56:01PM +0200, Mirek Grochowski wrote:
> Witam.
> Mam problem z ssh, probujac sie zalogowac dostaje:
> [EMAIL PROTECTED]:~$ ssh [EMAIL PROTECTED]
> ssh_exchange_identification: Connection closed by remote host
> 
> w celu dostania sie na maszyne, zmuszony bylem zalogowac sie najpierw na
> inny serwer, a dopiero pozniej na moj. Jaka moze byc przyczyna?
> 

Prawdopodobnie niezgodność wersji ssh (klient obsługujący tylko ssh1
a serwer ssh2).

rp.

-- 
I think that sick people in Ankh-Morpork generally go to a vet.  It's
generally a better bet. There's more pressure on a vet to get it right.
People say "it was god's will" when granny dies, but they get *angry* when
they lose a cow.
-- (Terry Pratchett, alt.fan.pratchett)


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

problem z ssh

[Mirek Grochowski]

Witam.
Mam problem z ssh, probujac sie zalogowac dostaje:
[EMAIL PROTECTED]:~$ ssh [EMAIL PROTECTED]
ssh_exchange_identification: Connection closed by remote host

w celu dostania sie na maszyne, zmuszony bylem zalogowac sie najpierw na
inny serwer, a dopiero pozniej na moj. Jaka moze byc przyczyna?

-- 
mirek


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]