LINUX.ORG.RU
решено ФорумAdmin

Помогите настроить доступ по SSH


0

0

Дома стои роутер Dlink,проводной...

Раздаёт инет на два компа-десктоп и ноут.

Пробую настроить доступ одной машины к другой,но ничего не получается!

Что особенно бесит,так года два назад на Убунте настроил без особых проблем,а сейчас ни на Debian,ни на Arch не осилю...

Туповат наверное.

openssh установлен

При попытке подключиться имею следующее:

[root@legioner legioner]# ssh legioner@192.168.0.193
ssh: connect to host 192.168.0.193 port 22: Connection refused

Куда мне начинать хоть копать-то?

Ориентировался вот по этому мануалу,но что-то никак:

http://system-administrators.info/?p=649

Заранее благодарю!

>ssh: connect to host 192.168.0.193 port 22: Connection refused

Порт открыт? Иптаблесом не отшивается ли?

Zhbert ★★★★★
()
Ответ на: комментарий от edigaryev

Пишу с ноута,с 192.168.0.193

iptables-save

ничего не выводит...

[root@legioner legioner]# grep Port /etc/ssh/sshd_config
#Port 22
#GatewayPorts no
[legioner@legioner ~]$ ssh -vvv   
OpenSSH_5.5p1, OpenSSL 1.0.0a 1 Jun 2010
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-e escape_char] [-F configfile]
           [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport]
           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
           [-R [bind_address:]port:host:hostport] [-S ctl_path]
           [-W host:port] [-w local_tun[:remote_tun]]
           [user@]hostname [command]
le_legioner ★★
() автор топика

Можно ещё hosts.allow посмотреть...

ei-grad ★★★★★
()
Ответ на: комментарий от mr_D
[root@legioner legioner]# sh /etc/rc.d/sshd status 
usage: /etc/rc.d/sshd {start|stop|restart}

Но он был не запущен... однако запуск помог:

[root@legioner legioner]# sh /etc/rc.d/sshd start
:: Starting Secure Shell Daemon                                           [DONE] 
[root@legioner legioner]# ssh legioner@192.168.0.121
The authenticity of host '192.168.0.121 (192.168.0.121)' can't be established.
RSA key fingerprint is 61:cf:af:56:7a:8e:e1:62:67:d7:8d:07:90:30:b1:6a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.121' (RSA) to the list of known hosts.
legioner@192.168.0.121's password: 
Last login: Wed Jul 14 19:19:05 2010
[legioner@legioner ~]$ exit
logout
Connection to 192.168.0.121 closed

Это я с ноута на десктоп зашёл. Как включить sshd на автозапуск?Добавить sshd в /etc/rc.conf секцию DAEMONS?

netstat -ln | grep 22

root@legioner legioner]# netstat -ln | grep 22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN

/etc/hosts.allow

#
# /etc/hosts.allow
#

# End of file

Повторюсь-с ноута я зашёл,а вот с десктопа есть проблемы...

Сейчас перейду на него и отпишусь.

le_legioner ★★
() автор топика
Ответ на: комментарий от le_legioner

А вот я с десктопа пытаюсь:

[root@legioner legioner]# sh /etc/rc.d/sshd restart
:: Stopping Secure Shell Daemon                                          [DONE] 
:: Starting Secure Shell Daemon                                          [DONE] 
[root@legioner legioner]# ssh legioner@192.168.0.193
ssh_exchange_identification: Connection closed by remote host

/etc/hosts.allow

#
# /etc/hosts.allow
#
sshd:all
# End of file

netstat -ln | grep 22

[root@legioner legioner]# netstat -ln | grep 22 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      
udp        0      0 127.0.0.1:52219         0.0.0.0:*

le_legioner ★★
() автор топика
Ответ на: комментарий от le_legioner

Большое всем человеческое спасибо!!!

Натолкнули меня и сам понял,что проблема была в том,что на ноуте

отсутствовала запись sshd:all в файле /etc/hosts.allow

Всё заработало теперь!

Респект всем!

le_legioner ★★
() автор топика

На debian'e

Вот так поделай на сервере:

aptitude install openssh-server
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
на клиенте:
aptitude install openssh-client
iptables -I OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Запутаешься, смотри iptables -L.

robux
()
Ответ на: На debian'e от robux

Ну японский бог, сколько раз можно говорить: зачем что-то разрешать, если -P ACCEPT или нет в конце цепочки DROP all.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Можно у вас еще уточнить такую вещь. Вот политика по умолчанию в Iptables стоит DROP. Это означает что если пакет входящий не удовлетворяет ни одному правилу ниже то он дропается вне зависимости от места расположения какого либо правила?

# Generated by iptables-save v1.4.6 on Sat Jul 17 11:40:06 2010
*nat
:PREROUTING ACCEPT [8178:438472]
:OUTPUT ACCEPT [1863:112145]
:POSTROUTING ACCEPT [1879:113163]
[4470:245658] -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j SNAT --to-source xxx.xxx.xxx.xxx 
COMMIT
# Completed on Sat Jul 17 11:40:06 2010
# Generated by iptables-save v1.4.6 on Sat Jul 17 11:40:06 2010
*filter
:INPUT DROP [898:50405]
:FORWARD ACCEPT [143346:92740618]
:OUTPUT ACCEPT [371511:361893559]
[9400:646800] -A INPUT -i ppp0 -p tcp -m tcp --sport 1024:65356 --dport 80 -j ACCEPT 
[302936:60554431] -A INPUT -i eth0 -j ACCEPT 
[34:179312] -A INPUT -i lo -j ACCEPT 
[5:420] -A INPUT -i ppp0 -p icmp -m icmp --icmp-type 0 -j ACCEPT 
[142:5725] -A INPUT -m conntrack --ctstate INVALID -j DROP 
[17:5320] -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP 
[101:20401] -A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65356 -j ACCEPT 
[0:0] -A INPUT -i ppp0 -p tcp -m tcp --sport 1024:65356 --dport xxxx -j ACCEPT 
[5159:6880657] -A INPUT -i ppp0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
[0:0] -A INPUT -i ppp0 -p tcp -m tcp --sport 1024:65356 --dport 54325:54386 -j ACCEPT 
COMMIT
Сейчас правила выглядят вот так, почему NAT вылез на первое место я не знаю:) Судя по этим правилам как я понимаю Запрещено все что не описано в правилах, дропаются все соединения инициированные не мной,рарешен DNS и подключения на 80 порт. Я прав или все же местоположение правила играет ключевую роль?

partyzan ★★★
()
Ответ на: комментарий от partyzan

Сверху вниз по цепочке. Следовательно, расположение правил конечно играет роль :) Пакет не попадающий ни под одно правили дропается -P INPUT DROP.

Кстати, зачем вот это правило


-A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65356 -j ACCEPT

если DNS-запрос попадает под правило


-A INPUT -i ppp0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

и ещё не понятоно последнее правили

-A INPUT -i ppp0 -p tcp -m tcp --sport 1024:65356 --dport 54325:54386 -j ACCEPT

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Кстати, зачем вот это правило

-A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65356 -j ACCEPT

если DNS-запрос попадает под правило


-A INPUT -i ppp0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

А вот сам не знаю, без него входящие DNS запросы не проходили.

и ещё не понятоно последнее правили

-A INPUT -i ppp0 -p tcp -m tcp --sport 1024:65356 --dport 54325:54386 -j ACCEPT

Там FTP висит

partyzan ★★★
()
Ответ на: комментарий от partyzan

> А вот сам не знаю, без него входящие DNS запросы не проходили.

Ну не может такого быть :)

Вывод iptables -vnL --line-numbers INPUT в лоркоде, пожалуйста.

cat /etc/resolv.conf

На одной вкладке sudo tcpdump -i ppp0 udp, в другой dig www.ru, затем sudo conntrack -L -p udp

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Упс, извиняюсь. Действительно работает. Скорее всего это правило жило со времен Chain OUTPUT (policy DROP) Сейчас решил не заморачиваться с исходящим трафиком. Спасибо за то что ткнули носом).

partyzan ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.