Проброс ssh в тунеле для putty
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Проброс ssh в тунеле для putty
2 сети связаны через mpd5, сеть-сеть.
На обоих шлюзах работает pf.
Один шлюз имеет статический IP (1й) (сервер mpd5), второй сидит за Nat провайдера (2й) (клиент mpd5).
Хочу через 1й попасть по тунелю на 2й по ssh putty.
Делаю rdr на 1м с порта 23 на порт 22 2го, получаю жесткий отлуп (pf ни там, ни там, ни при чем....)
Делаю проброс через putty, в 20% случаев иногда удается пройти 2 авторизации (user, root) на 2м, но при попытке запустить mc все виснет и переподключение уже не помогает, только ребут обоих серверов.
По отдельности sshd расчудесно работает на обоих шлюзах.
Помогите решить делему.
Спасибо.
На обоих шлюзах работает pf.
Один шлюз имеет статический IP (1й) (сервер mpd5), второй сидит за Nat провайдера (2й) (клиент mpd5).
Хочу через 1й попасть по тунелю на 2й по ssh putty.
Делаю rdr на 1м с порта 23 на порт 22 2го, получаю жесткий отлуп (pf ни там, ни там, ни при чем....)
Делаю проброс через putty, в 20% случаев иногда удается пройти 2 авторизации (user, root) на 2м, но при попытке запустить mc все виснет и переподключение уже не помогает, только ребут обоих серверов.
По отдельности sshd расчудесно работает на обоих шлюзах.
Помогите решить делему.
Спасибо.
Последний раз редактировалось f_andrey 2010-12-21 20:29:19, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Народ, очень срочно нужна помощь.
Начал разбирать проброс порта rdr и наткнулся на то, что шлюз не может сам на себя порт пробросить, не говоря уже про локалку и т.д
правила такие:
$ext_adsl - интерфейс, который смотрит на adsl модем.
Начал разбирать проброс порта rdr и наткнулся на то, что шлюз не может сам на себя порт пробросить, не говоря уже про локалку и т.д
правила такие:
Код: Выделить всё
set skip on {lo0 $ext_adsl}
rdr on tun0 proto tcp from any to tun0 port 23 -> $int_if port 22
nat on tun0 from any to any -> (tun0:0)
pass quick all
- mayor
- сержант
- Сообщения: 215
- Зарегистрирован: 2008-09-06 10:11:49
- Контактная информация:
Re: Проброс ssh в тунеле для putty
вот рабочее правило проброса с 443 на 22 порт:
$ext_if это ng0 (PPPoE) внешний tu WAN
вот это
убери
Код: Выделить всё
rdr on $ext_if inet proto {tcp} from 77.90.хх.хх to 194.44.ххх.хх port 443 -> 194.44.101.40 port 22
вот это
Код: Выделить всё
to tun0
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Спасибо, за помощь, но я привел верный rdr, нашел ошибку в дальнейших правилах pass, поправил:mayor писал(а):вот рабочее правило проброса с 443 на 22 порт:$ext_if это ng0 (PPPoE) внешний tu WANКод: Выделить всё
rdr on $ext_if inet proto {tcp} from 77.90.хх.хх to 194.44.ххх.хх port 443 -> 194.44.101.40 port 22
вот этоубериКод: Выделить всё
to tun0
Код: Выделить всё
pass in quick on tun0 proto tcp from any to any port {22 23} keep state
pass out quick on tun0 proto tcp from any to any port {22 23} keep state
Усложняю задачу и хочу пробросить порт 23->22 через mpd5 тунель ко 2му шлюзу, пока получаю отлуп.
На 2м шлюзе сделал pass quick all
С 1го могу без проблем цеплятся, на внутренний интерфейс 2го шлюза и на его виртуальный интерфейс (mpd5)
А вот rdr на 2й шлюз через 1й из инета пока не работает, подозреваю что где то косяк с nat ...
Выложить конфиги ?
- mayor
- сержант
- Сообщения: 215
- Зарегистрирован: 2008-09-06 10:11:49
- Контактная информация:
Re: Проброс ssh в тунеле для putty
чтобы работал такой проброс (насколько понятно с твоих слов) первый шлюз должен быть шлюзом по умолчанию для второго шлюза (в смысле второй выходит в мир через первый) если такого нет такой проброс работать не будет никак.
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Я вас понял, действительно это так....mayor писал(а):чтобы работал такой проброс (насколько понятно с твоих слов) первый шлюз должен быть шлюзом по умолчанию для второго шлюза (в смысле второй выходит в мир через первый) если такого нет такой проброс работать не будет никак.
1й для 2го не является шлюзом по умолчанию, и не будет ним.
Но нужно как то выкрутится из данной ситуации...
Может как то nat применить, подмену адреса на локальный для 2го и т.д.
Помогите найти решение ...
- mayor
- сержант
- Сообщения: 215
- Зарегистрирован: 2008-09-06 10:11:49
- Контактная информация:
Re: Проброс ssh в тунеле для putty
ну не знаю, а в чем проблема зайти на первый а через него потом на второй?
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Вы имеете ввиду проброс порта через putty ?mayor писал(а):ну не знаю, а в чем проблема зайти на первый а через него потом на второй?
Если да, то заходит через раз ...
А если запускается mc то все наглухо виснет на 2м, в смысле подключение виснет, а сам шлюз нормально работает.
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Если подскажете как через putty нормально запустить буду очень благодарен.
Меня это вполне устроит.
Меня это вполне устроит.
- mayor
- сержант
- Сообщения: 215
- Зарегистрирован: 2008-09-06 10:11:49
- Контактная информация:
Re: Проброс ssh в тунеле для putty
нет имею ввиду зайти через putty на первый а потом в консоли набрать команду:
и все.
Код: Выделить всё
ssh user@xxx.xxx.xxx.xxx
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Не знал что так можно, спасибо.mayor писал(а):нет имею ввиду зайти через putty на первый а потом в консоли набрать команду:и все.Код: Выделить всё
ssh user@xxx.xxx.xxx.xxx
На ситуация лучше не стала.
Подключение происходит, спрашивает доверие к сертификату.
После ввода пароля терминал, уже на сервере 2 виснет, хотя tcpdump на 2м показывает что пакеты идут и vpn не подвис...
Пинги летают ...
- mayor
- сержант
- Сообщения: 215
- Зарегистрирован: 2008-09-06 10:11:49
- Контактная информация:
Re: Проброс ssh в тунеле для putty
на сертификат нужно ответить yes - должно пустить я так работаю..
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Ну то что yes нужно набрать, это понятно.mayor писал(а):на сертификат нужно ответить yes - должно пустить я так работаю..
После ввода пароля терминал мертвый...
Ситуация аналогичная с пробросом порта через putty ...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
хм ...
вырубил оба фаервола, все заработало...
Буду фаерволы ковырять...
Еще раз спасибо.
вырубил оба фаервола, все заработало...
Буду фаерволы ковырять...
Еще раз спасибо.
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Ковыряю pf на 1м шлюзе.
Если выключаю pfctl -d то ко второму по ssh подключаюсь
Если включаю, то дальше пароля ни чего не происходит и терминал висит.
В pf такие правила
ext_adsl - интерфейс на adsl modem
int_if - локальный интерфейс
gre и pptp натит ipfw
Даже не представляю как можно это все раскрутить.
Если есть идеи, подскажите ...
Если выключаю pfctl -d то ко второму по ssh подключаюсь
Если включаю, то дальше пароля ни чего не происходит и терминал висит.
В pf такие правила
Код: Выделить всё
# ICMP Unreacheble
set block-policy return
set skip on {lo0 $ext_adsl $int_if}
# Нормализация входящего трафика
scrub in all
#-------------- Нат из локалки--------------------------------
# Не натим GRE и PPTP из локалки в интернет
no nat on $ext_inet proto gre from $int_lan to any
no nat on $ext_inet proto tcp from $int_lan to any port pptp
nat on $ext_inet from $nat_ip to any -> ($ext_inet:0)
nat on $ext_inet from $int_lan to any -> ($ext_inet:0)
# Default deny
# block all
pass quick all
int_if - локальный интерфейс
gre и pptp натит ipfw
Даже не представляю как можно это все раскрутить.
Если есть идеи, подскажите ...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Проброс ssh в тунеле для putty
Ответ нашел, но пока не понятно чем это чревато.
Нормально в mpd тунель не пропускала трафик опция pf scrub in all
Пока прописал scrub in on $int_if all и т.д. по всем интерфейсам кроме tun0.
Если есть объяснения пишите...
Нормально в mpd тунель не пропускала трафик опция pf scrub in all
Пока прописал scrub in on $int_if all и т.д. по всем интерфейсам кроме tun0.
Если есть объяснения пишите...