Проброс ssh в тунеле для putty

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-21 20:05:48

2 сети связаны через mpd5, сеть-сеть.
На обоих шлюзах работает pf.

Один шлюз имеет статический IP (1й) (сервер mpd5), второй сидит за Nat провайдера (2й) (клиент mpd5).
Хочу через 1й попасть по тунелю на 2й по ssh putty.

Делаю rdr на 1м с порта 23 на порт 22 2го, получаю жесткий отлуп (pf ни там, ни там, ни при чем....)
Делаю проброс через putty, в 20% случаев иногда удается пройти 2 авторизации (user, root) на 2м, но при попытке запустить mc все виснет и переподключение уже не помогает, только ребут обоих серверов.
По отдельности sshd расчудесно работает на обоих шлюзах.

Помогите решить делему.
Спасибо.
Последний раз редактировалось f_andrey 2010-12-21 20:29:19, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 10:48:36

UP.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 11:47:49

Народ, очень срочно нужна помощь.
Начал разбирать проброс порта rdr и наткнулся на то, что шлюз не может сам на себя порт пробросить, не говоря уже про локалку и т.д

правила такие:

Код: Выделить всё

set skip on {lo0 $ext_adsl}
rdr on tun0 proto tcp from any to tun0 port 23 -> $int_if port 22
nat on tun0 from any to any -> (tun0:0)
pass quick all
$ext_adsl - интерфейс, который смотрит на adsl модем.

Аватара пользователя
mayor
сержант
Сообщения: 215
Зарегистрирован: 2008-09-06 10:11:49
Контактная информация:

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение mayor » 2010-12-22 11:53:19

вот рабочее правило проброса с 443 на 22 порт:

Код: Выделить всё

rdr on $ext_if inet proto {tcp} from 77.90.хх.хх to 194.44.ххх.хх port 443 -> 194.44.101.40 port 22
$ext_if это ng0 (PPPoE) внешний tu WAN
вот это

Код: Выделить всё

to tun0
убери

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 12:26:14

mayor писал(а):вот рабочее правило проброса с 443 на 22 порт:

Код: Выделить всё

rdr on $ext_if inet proto {tcp} from 77.90.хх.хх to 194.44.ххх.хх port 443 -> 194.44.101.40 port 22
$ext_if это ng0 (PPPoE) внешний tu WAN
вот это

Код: Выделить всё

to tun0
убери
Спасибо, за помощь, но я привел верный rdr, нашел ошибку в дальнейших правилах pass, поправил:

Код: Выделить всё

pass  in quick on tun0 proto tcp from any to any port {22 23} keep state
pass out quick on tun0 proto tcp from any to any port {22 23} keep state
и все заработало, теперь могу пробросить любой порт в локалку и на шлюз.

Усложняю задачу и хочу пробросить порт 23->22 через mpd5 тунель ко 2му шлюзу, пока получаю отлуп.
На 2м шлюзе сделал pass quick all
С 1го могу без проблем цеплятся, на внутренний интерфейс 2го шлюза и на его виртуальный интерфейс (mpd5)
А вот rdr на 2й шлюз через 1й из инета пока не работает, подозреваю что где то косяк с nat ...
Выложить конфиги ?

Аватара пользователя
mayor
сержант
Сообщения: 215
Зарегистрирован: 2008-09-06 10:11:49
Контактная информация:

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение mayor » 2010-12-22 12:44:23

чтобы работал такой проброс (насколько понятно с твоих слов) первый шлюз должен быть шлюзом по умолчанию для второго шлюза (в смысле второй выходит в мир через первый) если такого нет такой проброс работать не будет никак.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 13:20:04

mayor писал(а):чтобы работал такой проброс (насколько понятно с твоих слов) первый шлюз должен быть шлюзом по умолчанию для второго шлюза (в смысле второй выходит в мир через первый) если такого нет такой проброс работать не будет никак.
Я вас понял, действительно это так....
1й для 2го не является шлюзом по умолчанию, и не будет ним.

Но нужно как то выкрутится из данной ситуации...
Может как то nat применить, подмену адреса на локальный для 2го и т.д.
Помогите найти решение ...

Аватара пользователя
mayor
сержант
Сообщения: 215
Зарегистрирован: 2008-09-06 10:11:49
Контактная информация:

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение mayor » 2010-12-22 13:47:15

ну не знаю, а в чем проблема зайти на первый а через него потом на второй?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 14:05:18

mayor писал(а):ну не знаю, а в чем проблема зайти на первый а через него потом на второй?
Вы имеете ввиду проброс порта через putty ?
Если да, то заходит через раз ...
А если запускается mc то все наглухо виснет на 2м, в смысле подключение виснет, а сам шлюз нормально работает.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 14:09:37

Если подскажете как через putty нормально запустить буду очень благодарен.
Меня это вполне устроит.

Аватара пользователя
mayor
сержант
Сообщения: 215
Зарегистрирован: 2008-09-06 10:11:49
Контактная информация:

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение mayor » 2010-12-22 14:32:08

нет имею ввиду зайти через putty на первый а потом в консоли набрать команду:

Код: Выделить всё

ssh user@xxx.xxx.xxx.xxx
и все.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 14:48:23

mayor писал(а):нет имею ввиду зайти через putty на первый а потом в консоли набрать команду:

Код: Выделить всё

ssh user@xxx.xxx.xxx.xxx
и все.
Не знал что так можно, спасибо.
На ситуация лучше не стала.

Подключение происходит, спрашивает доверие к сертификату.
После ввода пароля терминал, уже на сервере 2 виснет, хотя tcpdump на 2м показывает что пакеты идут и vpn не подвис...
Пинги летают ...

Аватара пользователя
mayor
сержант
Сообщения: 215
Зарегистрирован: 2008-09-06 10:11:49
Контактная информация:

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение mayor » 2010-12-22 14:55:59

на сертификат нужно ответить yes - должно пустить я так работаю..

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 15:12:09

mayor писал(а):на сертификат нужно ответить yes - должно пустить я так работаю..
Ну то что yes нужно набрать, это понятно.
После ввода пароля терминал мертвый...
Ситуация аналогичная с пробросом порта через putty ...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 15:30:37

хм ...
вырубил оба фаервола, все заработало...

Буду фаерволы ковырять...
Еще раз спасибо.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 16:23:52

Ковыряю pf на 1м шлюзе.
Если выключаю pfctl -d то ко второму по ssh подключаюсь
Если включаю, то дальше пароля ни чего не происходит и терминал висит.

В pf такие правила

Код: Выделить всё

# ICMP Unreacheble
set block-policy return
set skip on {lo0 $ext_adsl $int_if}

# Нормализация входящего трафика
scrub in all
#-------------- Нат из локалки--------------------------------
# Не натим GRE и PPTP из локалки в интернет
no nat on $ext_inet proto gre from $int_lan to any
no nat on $ext_inet proto tcp from $int_lan to any port pptp

nat on $ext_inet from $nat_ip to any -> ($ext_inet:0)
nat on $ext_inet from $int_lan to any -> ($ext_inet:0)
# Default deny
# block all
pass quick all
ext_adsl - интерфейс на adsl modem
int_if - локальный интерфейс
gre и pptp натит ipfw

Даже не представляю как можно это все раскрутить.
Если есть идеи, подскажите ...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1809
Зарегистрирован: 2008-10-03 14:56:40

Re: Проброс ssh в тунеле для putty

Непрочитанное сообщение kharkov_max » 2010-12-22 17:14:48

Ответ нашел, но пока не понятно чем это чревато.

Нормально в mpd тунель не пропускала трафик опция pf scrub in all
Пока прописал scrub in on $int_if all и т.д. по всем интерфейсам кроме tun0.

Если есть объяснения пишите...