Не пускает по ssh
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Не пускает по ssh
Добрый день!
Есть вот такая проблема -- после нажатия кнопки CONNECT в putty происходит зависание клиента на несколько минут (см. вложение), а потом отваливается по тайм-ауту. В фаерволе стоят правила pass all, серв пингуется и nmap показывает открытый 22 порт.
В чем может быть дело? sshd повис?
Есть вот такая проблема -- после нажатия кнопки CONNECT в putty происходит зависание клиента на несколько минут (см. вложение), а потом отваливается по тайм-ауту. В фаерволе стоят правила pass all, серв пингуется и nmap показывает открытый 22 порт.
В чем может быть дело? sshd повис?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: Не пускает по ssh
с какого компа смотрел?Grishun_U_S писал(а):и nmap показывает открытый 22 порт
смотри в строну фаеров, если ссх запущен, то пускать должно, а у тебя соединение не устанавливается. Проверяй пинг, сокстат и ipfw, потом смотри в сторону /var/log/messages, может там ругань идёт. Хотя честно скажу, не помню ни одного случая, чтобы sshd упал или повис.
- vintovkin
- ВДВ
- Сообщения: 1291
- Зарегистрирован: 2007-05-11 9:39:11
- Откуда: CSKA
Re: Не пускает по ssh
Код: Выделить всё
ps -auxwc | grep sshd
cat /etc/ssh/sshd_config
ipfw show
ifconfig -a
JunOS kernel based on FreeBSD UNIX.
- ~>cerber<~
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2007-06-23 0:58:32
- Откуда: [UKRAINE]
- Контактная информация:
Re: Не пускает по ssh
у меня такое было только один раз в жизни, когда клиент очень долго в первый раз генерил ключ
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
;aka coolchevy
live free or die;
live free or die;
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Не пускает по ssh
а кто сказал что у меня ipfw?vintovkin писал(а):фстудиюКод: Выделить всё
ps -auxwc | grep sshd cat /etc/ssh/sshd_config ipfw show ifconfig -a
ЗЫ : это точно не фаер. Он ОТКЛЮЧЕН.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Не пускает по ssh
если бы я мог... Он в другом городе. Все что можно будет попробовать -- перезагрузить его и все....~>cerber<~ писал(а):у меня такое было только один раз в жизни, когда клиент очень долго в первый раз генерил ключ
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Не пускает по ssh
с того же с которого захожу с помощью puttyzg писал(а):с какого компа смотрел?Grishun_U_S писал(а):и nmap показывает открытый 22 порт
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Не пускает по ssh
Между прочим, засранный /var не дает такого эффекта?
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: Не пускает по ssh
тайм аут наврядли, а что там места мало?Grishun_U_S писал(а):Между прочим, засранный /var не дает такого эффекта?
если пинг идёт, нмап говорит, что порт открыт, значит дело в клиенте, либо на порту сидит не sshd. Проверь - ты точно 22 порт сканил и на него пытаешься коннектиться?
- LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
- Контактная информация:
Re: Не пускает по ssh
ггг, этож наверно БРЕНДмауер.zg писал(а):тайм аут наврядли, а что там места мало?Grishun_U_S писал(а):Между прочим, засранный /var не дает такого эффекта?
если пинг идёт, нмап говорит, что порт открыт, значит дело в клиенте, либо на порту сидит не sshd. Проверь - ты точно 22 порт сканил и на него пытаешься коннектиться?
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
Виpус детям не игpушка, не товаpищ и не дpуг!
- LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
- Контактная информация:
Re: Не пускает по ssh
надо попробвоать telnet в 22 порт что скажет.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
Виpус детям не игpушка, не товаpищ и не дpуг!
- vintovkin
- ВДВ
- Сообщения: 1291
- Зарегистрирован: 2007-05-11 9:39:11
- Откуда: CSKA
Re: Не пускает по ssh
а если он не загрузится?Grishun_U_S писал(а):если бы я мог... Он в другом городе. Все что можно будет попробовать -- перезагрузить его и все....~>cerber<~ писал(а):у меня такое было только один раз в жизни, когда клиент очень долго в первый раз генерил ключ
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
(у меня такое было, надо было в сингл юзер заходить)
Код: Выделить всё
fsck #с какими то флагами писать ...сказёвые винты
JunOS kernel based on FreeBSD UNIX.
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: Не пускает по ssh
угу, нмап пустил, путтю забанил - изберательная политика безопасности не.. мне кажется тут дело в другом, хотя исключать тоже нельзя, особенно встроенныйLMik писал(а):ггг, этож наверно БРЕНДмауер.
- vintovkin
- ВДВ
- Сообщения: 1291
- Зарегистрирован: 2007-05-11 9:39:11
- Откуда: CSKA
Re: Не пускает по ssh
ага ! встроенный сразу фтопку))zg писал(а):угу, нмап пустил, путтю забанил - изберательная политика безопасности не.. мне кажется тут дело в другом, хотя исключать тоже нельзя, особенно встроенныйLMik писал(а):ггг, этож наверно БРЕНДмауер.
JunOS kernel based on FreeBSD UNIX.
- ~>cerber<~
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2007-06-23 0:58:32
- Откуда: [UKRAINE]
- Контактная информация:
Re: Не пускает по ssh
как-то недочитал твой пост сразу, видимо проблема на уровне фссерв пингуется и nmap показывает открытый 22 порт.
а кроме ssh там еще сервисы живут? и как они поживают?
;aka coolchevy
live free or die;
live free or die;
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
- gloom
- лейтенант
- Сообщения: 738
- Зарегистрирован: 2008-03-13 16:29:12
- Откуда: UA
Re: Не пускает по ssh
вот вычитал
http://www.opennet.ru/opennews/art.shtml?num=18002
DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux
в коментариях написано что уязвим не только деб а и другие системы
http://www.opennet.ru/opennews/art.shtml?num=18002
DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux
в коментариях написано что уязвим не только деб а и другие системы
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Не пускает по ssh
Карочи... Вопрос решен. Перезагрузили и все стало нармуль. Че было -- ХЗ.
- LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
- Контактная информация:
Re: Не пускает по ssh
Хы а ты думаешь как он работает? У него есть список приложений которым разрешен доступ в инет или не разрешен.zg писал(а):угу, нмап пустил, путтю забанил - изберательная политика безопасности не.. мне кажется тут дело в другом, хотя исключать тоже нельзя, особенно встроенныйLMik писал(а):ггг, этож наверно БРЕНДмауер.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
Виpус детям не игpушка, не товаpищ и не дpуг!
- ~>cerber<~
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2007-06-23 0:58:32
- Откуда: [UKRAINE]
- Контактная информация:
Re: Не пускает по ssh
советую изучитьGrishun_U_S писал(а):Карочи... Вопрос решен. Перезагрузили и все стало нармуль. Че было -- ХЗ.
/var/log/messages
/var/log/authlog
если не желаешь, чтоб такое еще раз повторилось, и я б на пока включил режим отладки, на пару дней, может чего, или кого интерсного увидишь
;aka coolchevy
live free or die;
live free or die;
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Не пускает по ssh
сей странный эффект возникает после того как обновляю правила фаера. Чуваки, писавшие про фаер были правы... НО!
Те же самые правила включены в rc.conf но эффект не проявляется.
Ситуэйшен : после перезагрузки делаем
Код: Выделить всё
#pfctl -sr
<пусто!>
Код: Выделить всё
# macro definitions
int_if = "vr0"
ext_if = "tun0"
ssh_port = "22"
squid_port = "8080"
icmp_types = "{ echoreq, unreach }"
# global options
set block-policy return
set skip on lo0
set skip on rl0
scrub in all
# NAT & rdr
# no nat
# RULES
#antispoof quick for $int_if
#antispoof quick for $ext_if
#block all
pass all
#pass in log proto tcp from any to { $int_if , $ext_if } port $ssh_port flags S/SAFR synproxy state
#pass in on $int_if proto tcp from $int_if:network to $int_if port $squid_port flags S/SAFR synproxy state
#pass in on $int_if proto tcp from $int_if:network to $int_if port www flags S/SAFR synproxy state
#pass out from $ext_if to any flags S/SAFR modulate state
### TEMP!
#pass out from $int_if to any flags S/SAFR modulate state
#pass in on $int_if proto tcp from $int_if:network to $int_if port ftp flags S/SAFR synproxy state
#pass in on $ext_if proto tcp from any to $ext_if port www flags S/SAFR synproxy state
#pass in on $ext_if proto tcp from any to $ext_if port 8080 flags S/SAFR synproxy state
### TEMP!
#pass log inet proto icmp all icmp-type $icmp_types
Код: Выделить всё
#pfctl -nf /usr/local/etc/pf.conf
Вывод ifconfig
Код: Выделить всё
$ ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:e0:4c:57:f3:7c
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:19:21:41:cd:3c
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 80.234.104.* --> 88.200.222.254 netmask 0xffffffff
Opened by PID 454