Не пускает по ssh снаружи

[kerogaz]

FreeBSD 10
Я сменил порт ssh на 2954. Из локальной сети пускает если прописать
Код

Код: Выделить всё

ssh -p 2954 имя@белый ip

А из интернета не пускает (Сonnection timed out)

Вот мои правила ipfw

Код: Выделить всё

#!/bin/sh -

fwcmd="/sbin/ipfw"
${fwcmd} -f flush
${fwcmd} -f queue flush
${fwcmd} -f pipe flush
${fwcmd} table all flush
${fwcmd} nat 1 delete

# VAR
if_inet="em0"
if_lan="em1"
ssh="2954"

# Local
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any

# ssh
${fwcmd} add allow tcp from any to any ${ssh} via ${if_lan}
${fwcmd} add allow tcp from any ${ssh} to any via ${if_lan}
${fwcmd} add allow tcp from any to any ${ssh} via ${if_inet}
${fwcmd} add allow tcp from any ${ssh} to any via ${if_inet}


# NAT
${fwcmd} nat 1 config if ${if_inet} same_ports reset log
${fwcmd} add nat 1 ip from "table(0)" to any out via ${if_inet}
${fwcmd} add nat 1 ip from any to any in via ${if_inet}

# any
${fwcmd} add allow ip from any to any
${fwcmd} table 0 add 10.44.1.1/24
${fwcmd} table 0 add 10.44.2.1/24
${fwcmd} table 0 add 10.44.3.1/24
${fwcmd} table 0 add 10.44.4.1/24

${fwcmd} add allow tcp from any to any 80
${fwcmd} add allow tcp from any to any 2954

Отправлено спустя 11 минут 36 секунд:

Код: Выделить всё

ipfw show
00100     0        0 allow ip from any to any via lo0
00200     0        0 deny ip from any to 127.0.0.0/8
00300     0        0 deny ip from 127.0.0.0/8 to any
00400    81     6616 allow tcp from any to any dst-port 2954 via em1
00500    64     8968 allow tcp from any 2954 to any via em1
00600     0        0 allow tcp from any to any dst-port 2954 via em0
00700     0        0 allow tcp from any 2954 to any via em0
00800 19047  2795630 nat 1 ip from table(0) to any out via em0
00900 23945 21304852 nat 1 ip from any to any in via em0
01000 44233 24229583 allow ip from any to any
01100     0        0 allow tcp from any to any dst-port 80
01200     0        0 allow tcp from any to any dst-port 2954
01300     0        0 allow tcp from any to any dst-port 2954 in out
65535     0        0 deny ip from any to any

Отправлено спустя 19 минут :
Я закоментарил в /etc/rc.conf строку скрипта правил, сделал firewall_type="OPEN"
Всё равно не пускает

Отправлено спустя 15 минут 50 секунд:

Код: Выделить всё

netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.44.1.1.45817        10.44.2.58.http        TIME_WAIT
tcp4       0      0 name.2954  10.44.4.201.36741      ESTABLISHED
tcp4       0      0 *.2954                 *.*                    LISTEN
tcp6       0      0 *2954                 *.*                    LISTEN
tcp4       0      0 namei.4000  *.*                    LISTEN
tcp4       0      0 name.http  *.*                    LISTEN
tcp4       0      0 localhost.rndc         *.*                    LISTEN
tcp4       0      0 *.domain               *.*                    LISTEN
tcp4       0      0 10.44.1.1.domain       *.*                    LISTEN
udp4       0      0 *.syslog               *.*                    
udp6       0      0 *.syslog               *.*                    
udp4       0      0 *.domain               *.*                    
udp4       0      0 10.44.1.1.domain       *.*                    
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
fffff800307285a0 stream      0      0        0 fffff80030728690        0        0
fffff80030728690 stream      0      0        0 fffff800307285a0        0        0
fffff8003072c780 stream      0      0        0 fffff8003072c870        0        0
fffff8003072c870 stream      0      0        0 fffff8003072c780        0        0
fffff800307305a0 stream      0      0 fffff80030162938        0        0        0 /var/run/devd.pipe
fffff80030728780 dgram       0      0        0 fffff80030728a50        0        0
fffff80030728a50 dgram       0      0 fffff80030191b10        0 fffff80030728780        0 /var/run/logpriv
fffff80030728b40 dgram       0      0 fffff80030191ce8        0        0        0 /var/run/log
fffff800307304b0 seqpac      0      0 fffff80030162760        0        0        0 /var/run/devd.seqpacket.pipe

Отправлено спустя 37 минут 59 секунд:
В общем не работает снаружи по ssh только этот порт, несколько других наугад работают, но я не буду париться, мне главное сменить 22 порт

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

А зачем дергать файер, вы уже сменили номер порта в sshd и пытаетесь разрешить доступ на этот порт всем...Масло масляное получается...

[kerogaz]

В общем не работает снаружи только этот порт. Это было у меня с этим портом и на CentOS 6.6. Примерно неделю работает а потом обрубает. В общем посоветовали обратиться к провайдеру. А порт меняю потому что 22 порт любимая цель для китайских генераторов паролей , другие порты эти генераторы слушать не умеют. Меняешь порт и fail2ban ставить не надо а своим пользователям сообщаешь номер порта

[snorlov]

Я номер порта не меняю, просто разрешаю на него заходить с определенных адресов и в конфиге ssh и в правилах файера...

[kerogaz]

А если адреса выдаются провайдером не статически а динамически ( DHCP) ? Заведете ip адрес провайдера с тысячами клиентов?

[snorlov]

Ну во-первых, я так считаю, что ssh все-таки инструмент админа и там тысячами не пахнет, а когда надо много клиентов и идет динамика, то лучше заюзать любой VPN и пусть потом подключаются как бы изнутри...

[kerogaz]

Мне проще нужному человеку, которому провайдер раздает динамические адреса ,сообщить номер измененного порта ssh

[kerogaz]

А с портами какая-то жесть. Порт 3954 поработал неделю и сегодня приказал долго жить. (Timed out) хотя логи ничего не показывают . Перешел на порт 11111 А Received signal 15; terminating. - это мне ждать надоело

Код: Выделить всё

Jun  3 07:45:26 sprinter sshd[30142]: Server listening on :: port 3954.
Jun  3 07:45:26 sprinter sshd[30142]: Server listening on 0.0.0.0 port 3954.
Jun  3 07:45:47 sprinter sshd[30142]: Received signal 15; terminating.
Jun  3 07:46:39 sprinter sshd[651]: Server listening on :: port 3954.
Jun  3 07:46:39 sprinter sshd[651]: Server listening on 0.0.0.0 port 3954.
Jun  3 07:48:07 sprinter sshd[651]: Received signal 15; terminating.
Jun  3 07:48:07 sprinter sshd[766]: Server listening on :: port 11111.
Jun  3 07:48:07 sprinter sshd[766]: Server listening on 0.0.0.0 port 11111.
Jun  3 07:48:42 sprinter sshd[767]: Accepted keyboard-interactive/pam for sprinter from xxxxxxxx  port 35812 ssh2
Jun  3 07:48:54 sprinter su: sprinter to root on /dev/pts/0
Jun  3 07:57:40 sprinter sshd[637]: Server listening on :: port 11111.
Jun  3 07:57:40 sprinter sshd[637]: Server listening on 0.0.0.0 port 11111.

[bagas]

Обычно порт если пытаются с крыть то помещают его в 5-ти значный диапазон.

[kerogaz]

Как правило генераторы паролей лупят с частотой 2 сек на 22 порт и так забивают канал что не достучишься. Если переводишь на какой-то другой порт то полный штиль. fail2ban хорошо помогает на 22 порту, но если сменить порт то логи получаются совершенно чистые