ssh за фаервол

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Garry04
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-11-05 15:18:48

ssh за фаервол

Непрочитанное сообщение Garry04 » 2008-11-06 15:32:15

Приветствую, господа системные администраторы!

Проблема. Есть машина под управление FreeBSD 6.1 с ip 192.168.1.1, которая выполняет роль маршрутизатора, на ней соответственно настроен фаерол(ipfw). Есть машина под управлением SLESа внутри сети с ip 192.168.1.2 она выполняет роль http сервера. Нужно сделать доступ к этой машине из "мира" через ssh на прямую, дабы миновать промежуточную регистрацию на 192.168.1.1.
Я добавил такое правило

Код: Выделить всё

00007 divert 8668 tcp from any to me dst-port 22 in via rl0
И в nard.conf добавил

Код: Выделить всё

redirect_port tcp 192.168.1.2:22 22
при попытке подключения по ssh, регистрация происходит на 192.168.1.1, а не на 192.168.1.2 как хотелось бы.

Что не так? :st:

p.s.
по такой же схеме пробросил 25, 80, 443 .. порты в локальную сеть, все работает.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: ssh за фаервол

Непрочитанное сообщение manefesto » 2008-11-06 15:35:33

на SLES поставь нестандартный порт....наприм 2222
У тебя на шлюз пускает раньше чем на SLES.
Надо писать правило fwd
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Garry04
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-11-05 15:18:48

Re: ssh за фаервол

Непрочитанное сообщение Garry04 » 2008-11-06 16:32:40

ядро с поддержкой IPFIREWALL_FORWARD нужно я так понял, а можно по подробней об 2222?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: ssh за фаервол

Непрочитанное сообщение manefesto » 2008-11-06 18:12:31

вешаешь ssh шлюза на порт 2222.
А для SLES оставляешь стандартный порт 22.
Или наоборот, дело вкуса.
Смотри в конфиге ssh, там номер порта можно указать.
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: ssh за фаервол

Непрочитанное сообщение alex3 » 2008-11-06 18:19:14

и не забудь после изменений в конфиге ssh перезапустить...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
cheshire_cat
рядовой
Сообщения: 24
Зарегистрирован: 2008-10-30 23:53:22

Re: ssh за фаервол

Непрочитанное сообщение cheshire_cat » 2008-11-06 21:15:05

а можно по подробней об 2222?
в /etc/ssh/sshd_config на SLES'e
меняешь На, например,

Код: Выделить всё

Port 2222
А также меняешь остальные конфиги:

Код: Выделить всё

00007 divert 8668 tcp from any to me dst-port 2222 in via rl0
И

Код: Выделить всё

redirect_port tcp 192.168.1.2:2222 2222
Ну и подключаешься потом на 2222 порт внешнего IP.

Или второй вариант:

Оставляешь как есть, а в /etc/ssh/sshd_config твоего шлюза меняешь порт, на котором слушает SSH, как приведено выше.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: ssh за фаервол

Непрочитанное сообщение alex3 » 2008-11-06 21:20:30

небольшое пояснение... все дело в том что демон ssh на шлюзе перехватывает пакеты на 22 порт немного раньше чем нат( или немного позже) из-за этого возникает некоторая неопределенность (как в микрофизике, насчет местоположения электрона). Так вот, чтобы эту неопределенность исключить и надо разнести порты.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
Garry04
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-11-05 15:18:48

Re: ssh за фаервол

Непрочитанное сообщение Garry04 » 2008-11-07 11:27:01

Понял, спасибо всем за помощь :good: , как сделаю отпишусь о результатах!

Аватара пользователя
Garry04
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-11-05 15:18:48

Re: ssh за фаервол

Непрочитанное сообщение Garry04 » 2008-11-19 14:48:52

пресобрал ядро с опцией IPFIREWALL_FORWARD и все заработало. даже не пришлось переназначать порт на нестандартный, теперь ssh сразу форвардиться на 192.168.1.2 :smile: Всем еще раз спасибо за помощь!