ďťż
 
 
   nie mogę się zalogować z innego adresu niż moja siec LAN
 
 

Tematy
 
    
 

 

 

 

nie mogę się zalogować z innego adresu niż moja siec LAN




declerc - 18-03-2010 00:29
Witam.

Dziś zainstalowałem Debiana i chciałbym mieć do niego dostęp z sieci WAN. Ale niestety nie mam. System podstawowy i środowisko graficzne. Na razie graficznego nie używam bo mam problem z grafiką.

Zainstalowałem

ssh
zmienilem troche /sshd_config
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
AllowUsers MOJA NAZWA UŻYTKOWNIKA

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes a w ssh_config
# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#  ForwardAgent no
#  ForwardX11 no
#  ForwardX11Trusted yes
#  RhostsRSAAuthentication no
#  RSAAuthentication yes
#  PasswordAuthentication yes
#  HostbasedAuthentication no
#  GSSAPIAuthentication no
#  GSSAPIDelegateCredentials no
#  GSSAPIKeyExchange no
#  GSSAPITrustDNS no
#  BatchMode no
#  CheckHostIP yes
    AddressFamily inet
    ConnectTimeout 300
#  StrictHostKeyChecking ask
#  IdentityFile ~/.ssh/identity
#  IdentityFile ~/.ssh/id_rsa
#  IdentityFile ~/.ssh/id_dsa
#  Port 22

#  Cipher 3des
#  Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
#  MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#  EscapeChar ~
#  Tunnel no
#  TunnelDevice any:any
#  PermitLocalCommand no
    SendEnv LANG=C
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no
    NumberOfPasswordPrompts 3 I nadal nie mogę się zalogować z innego adresu niż moja siec LAN.

Proszę o radę.

Wszystko znajduje się za ruterem ale dodane jako DMZ.


mariaczi - 18-03-2010 14:11
Najpierw sprawdź z domyślą konfiguracją i DMZ. Jak z DMZ nie zadziała to wyłącz DMZ a przekieruj port na ruterze na maszynę z Debianem.


timor - 18-03-2010 15:33
Bez przekierowania portów się nie obejdzie.


declerc - 18-03-2010 20:57
Przeinstalowałem Debiana bez środowiska graficznego sam podstawowy system + ssh (podstawowa konfiguracja i nadal spoza LAN-u się nie łączę) po przekierowaniu portów też (a np. torrent w Windowsie po przekierowaniu pokazuje wszystko poprawnie).


mariaczi - 18-03-2010 21:17
Pokaż wynik polecenia
netstat -ln | grep :22


declerc - 19-03-2010 00:34
netstat daje to: tcp        0      0 0.0.0.0:22              0.0.0.0:*              LISTEN
tcp6      0      0 :::22                  :::*                    LISTEN nmap tez pokazuje port 22 otwarty.
# iptables -L
Chain INPUT (policy ACCEPT)
target    prot opt source              destination

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination


bzyk - 19-03-2010 10:20
Według mnie źle przekierowałeś porty. Sprawdź uruchamiając tcpdumpa na maszynie z Debianem, po czym spróbuj się zalogować z zewnątrz.
tcpdump -i eth0 (zakładam, że masz eth0, jeśli nie, to wpisz poprawny interface) -n port 22.


timor - 19-03-2010 10:30
Gdybyś dobrze to przekierował to musiałoby działać. Możesz dokładnie opisać jak to zrobiłeś (z jakiego adresu na jaki, jakie porty, etc)?


declerc - 19-03-2010 12:43

Gdybyś dobrze to przekierował to musiałoby działać. Możesz dokładnie opisać jak to zrobiłeś (z jakiego adresu na jaki, jakie porty, etc)? Próbowałem dwóch rzeczy:
    lprzekierowanie (ang. forwarding) portu -- wszystko co przyjdzie na 22 port ma iść na adres 192.168.1.2,l lDMZ -- dodałem komputer o adresie 192.168.1.2 jako strefa DMZ (co odblokowuje wszystkie porty).l



timor - 19-03-2010 12:45
No i źle.

Wszystko co przyjdzie na Twój ZEWNĘTRZNY ADRES na port 22, przekieruje na 192.168.1.2 na port 22. Przecież chcesz żeby z zewnątrz przychodziło - prawda? ;)


declerc - 19-03-2010 17:57

No i źle.

Wszystko co przyjdzie na Twój ZEWNĘTRZNY ADRES na port 22, przekieruje na 192.168.1.2 na port 22. Przecież chcesz żeby z zewnątrz przychodziło - prawda? ;) To jest router TPlink i on nie ma możliwości przekierowania z exterial na int. ponieważ ma tylko jedno zewnętrzne wyjście (1 x WAN) wiec domyślnie bierze to jako Z tam jest opcja j/w (jak coś idzie na dany porcie to przekieruj na dany IP).

Jednakże najdziwniejsze jest to że wczoraj nie działało , a dziś działa przy tych samych ustawieniach wiec będę mógł zdalnie sobie trenować / zarządzać [;


timor - 19-03-2010 20:34
Trzeba było kupić choćby Asmax'a. Cena i jakość ta sama a funkcji ma wypas :)
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis