Bonjour,
J'ai ajouté 2 règles ipforward sur IpTables vers 2 serveur différents pour se connecter en ssh directement. Cela fonctionne sur l'un des destinataires et pas sur l'autre. La machine qui fait les règles ipforward est une debian. Les 2 destinataires sont Redhat.
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth2 -d xxx.xxx.xxx.xxx --dport 29010 --sport 1024:65535 -j DNAT --to-destination 10.0.1.7:22
/sbin/iptables -A FORWARD -p tcp -i eth2 -o eth0 -d 10.0.1.7 --dport 29010 --sport 1024:65535 -m state --state NEW -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth2 -d xxx.xxx.xxx.xxx --dport 29001 --sport 1024:65535 -j DNAT --to-destination 10.0.1.4:22
/sbin/iptables -A FORWARD -p tcp -i eth2 -o eth0 -d 10.0.1.4 --dport 29001 --sport 1024:65535 -m state --state NEW -j ACCEPT
J'arrive à me connecter en ssh en externe sur la machine qui a l'adresse 10.0.1.4 mais pas sur celle qui a l'adresse 10.0.1.7. Pourtant un telnet 10.0.1.7 22 fonctionne depuis la débian.
Merci de votre aide
# established
Posté par nono14 (site web personnel) . Évalué à 2. Dernière modification le 06 février 2012 à 15:43.
Et les connexions établies elles passent bien ?
en fait, c'est plutot du côté serveur ssh de la machine en question qu'il y a un soucis ? ( restriction, dns reverse , ... )
ssh -vvv @ip
Système - Réseau - Sécurité Open Source
[^] # Re: established
Posté par dubis . Évalué à -1.
Salut nono,
Pour le serveur donc le forward de ssh fonctionne j'ai la ligne "debug1: Connection established".
Pour l'autre serveur cela s’arrête à la ligne d'avant puis j'ai "Connection timed out"
Sur la machine dont je n'arrive pas à me connecter, je n'arrive pas non plus à attraper un port TCP d'application serveur, alors que cela marche sur toutes les autres machines de mon LAN.
Les serveurs sont tous déclarés dans le /etc/hosts
A quelle genre de restriction penses tu ? J'ai desactivé le SeLinux sans resultat.
Merci de votre aide...
[^] # Re: established
Posté par nono14 (site web personnel) . Évalué à 2. Dernière modification le 06 février 2012 à 16:11.
Tu te fais jeter par le serveur ssh...
Système - Réseau - Sécurité Open Source
[^] # Re: established
Posté par dubis . Évalué à -1.
Oui mais en fait, je me fais jeter par tous les port TCP serveur en fait ...
Les 2 sshd_config sont égaux.... o_0
[^] # Re: established
Posté par nono14 (site web personnel) . Évalué à 2. Dernière modification le 06 février 2012 à 16:27.
Au pif host.allow et host.deny ?
La résolution dns/reverse est correcte coté serveur ssh ?
Système - Réseau - Sécurité Open Source
[^] # Re: established
Posté par dubis . Évalué à -1.
host.allow et host.deny sont vides ....
Pour ceci :
> La résolution dns/reverse est correcte coté serveur ssh ?
Peux tu m'en dire plus ?
[^] # Re: established
Posté par reno . Évalué à 2.
Qu'est-ce que tu appelle un "port TCP serveur"?
Tu arrives à faire du telnet, telnet est au dessus de TCP aussi..
[^] # Re: established
Posté par dubis . Évalué à -2.
Le telnet sur les ports du serveur dont j'essaie de joindre, depuis l'extérieur est KO ce cela incrimine l'IPForward et le NAT. Par contre tous les telnet vers l'autre servuer et la connexion ssh NAT est OK. C'est ce point que je ne comprend pas.
Depuis le serveur debian qui fait le NAT / Forward, tous les telnet sont OK.
Le reserve DNS ce vérifie avec nslookup, mais mes serveur ne sont pas déclarer dans celui ci. Ils sont déclarer entre eux via les fichiers /etc/host de chacun. Est ce que le terme loghost est indispensable dans ce fichier?
Merci de votre aide.
[^] # Re: established
Posté par dubis . Évalué à -2.
Par exemple j'ai un démon qui écoute sur le 29070, que je n'arrive pas à joindre de l'extérieure. Par contre si je fais un ssh -L29070:localhost:29070 system@serveur1 puis sur le serveur1 je fais ssh -L29070:localhost:29070 serveur2. Dans un autre terminal le 29070 répond avec un telnet:
telnet localhost 29070
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Normalement, avec les règles PREROUTING et FORWARD d'iptables, je n'ai pas à faire les 2 ssh. Naturellement celles qui sont dans mon poste ne sont pas bonnes dans ce cas là.
[^] # Re: established
Posté par dubis . Évalué à -3.
Marce sur cleint Linux mais pas sur Windows snif...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.