Доступ до локальных серверов извне.

0

1

Есть у нас на работе 2 сервера на винде. Програмист прописал до них доступ по портам, например 192.168.1.1:3391 и 192.168.1.2:3392. При доступе из вне к IP-адресу дописывая порт и попадаю на нужный мне сервер. Теперь еще поставили 2 федоры. Как для них организовать аналогичный доступ, а то ssh из внешника все-таки на шлюз пытается залогинится?

Ссылка

←	шифрование каталога kubunta 11.04

iptables приём соединений только с одного адреса

→

>Как для них организовать аналогичный доступ, а то ssh из внешника все-таки на шлюз пытается залогинится?
Аналогично. Повесить ssh с 22 на другой порт и прокинуть его на шлюзе.

yirk ★★★
(11.06.11 23:15:18 MSK)

Ссылка

ну, наверное прописать «доступ по портам» и коннектится: ssh <ip>:<port>

genesis_error ★
(11.06.11 23:16:17 MSK)

Ответ на: комментарий от genesis_error 11.06.11 23:16:17 MSK

как прописать достуП по портам?))

KERNEL_PANIC ★★★
(11.06.11 23:19:02 MSK) автор топика

Ответ на: комментарий от KERNEL_PANIC 11.06.11 23:19:02 MSK

Через что сейчас реализовано? Можешь подробнее описать схему

genesis_error ★
(11.06.11 23:20:02 MSK)

Ссылка

Ответ на: комментарий от KERNEL_PANIC 11.06.11 23:19:02 MSK

как вариант, extended acl (cisco-way) или ssh-туннель, если в linux сильны.

~~helios~~ ★★★★★
(11.06.11 23:34:54 MSK)

Ссылка

man port forwarding

leave ★★★★★
(12.06.11 00:01:26 MSK)

Ссылка

В /etc/ssh/sshd_config или твой путь к конфигу обозначь номер порта.
Можно так:

port 5000
ListenAddress 192.168.1.3

или так ( не в конкретном случае ):

port 22
ListenAddress 8.8.8.8:5000

Тогда он на внешнем интерфейсе будет слушать на нестандартном порту.

Ну и на шлюзе добавь правил iptables. Типа

iptables -t nat -A PREROUTING --dst $WAN_IP -p tcp --dport 5000 -j DNAT --to-destination 192.168.1.3

iptables -A FORWARD -i $WAN_IFACE -p tcp -m tcp --dst 192.168.1.3 --dport 5000 -j ACCEPT

***************

Но можно без правки конфига ssh. iptables перебросить на 22 порт:

iptables -t nat -A PREROUTING --dst $WAN_IP -p tcp --dport 5000 -j DNAT --to-destination 192.168.1.3:22

uspen ★★★★★
(12.06.11 00:03:50 MSK)

А вообще, читая твои посты, я понял что ты работаешь админом в конторе какой-то. Такие вещи не знать, «язык не поворачивается»...

uspen ★★★★★
(12.06.11 00:05:43 MSK)

Ответ на: комментарий от uspen 12.06.11 00:03:50 MSK

Спас.ибо, завтра попробую реализовать)

KERNEL_PANIC ★★★
(12.06.11 00:08:10 MSK) автор топика

Ссылка

Ответ на: комментарий от uspen 12.06.11 00:03:50 MSK

Уж для полноты ответа сказали бы, что в команде «ssh» соединяясь с сервером, нужно будет указывать другой порт через опицю "-p" :)

И, наверное, нужно сделать одинаковые ключи у sshd на всех серверах, а то постоянно будет ругать при соединении.

mky ★★★★★
(12.06.11 01:29:36 MSK)

openvpn или ssh tunnel всяко лучше

anton_jugatsu ★★★★
(12.06.11 10:26:05 MSK)

Ссылка

Ответ на: комментарий от mky 12.06.11 01:29:36 MSK

>И, наверное, нужно сделать одинаковые ключи у sshd на всех серверах, а то постоянно будет ругать при соединении.

Если ип один, а порты разные - ругать не будет.

ventilator ★★★
(12.06.11 14:23:54 MSK)

Ответ на: комментарий от mky 12.06.11 01:29:36 MSK

> И, наверное, нужно сделать одинаковые ключи у sshd на всех серверах, а то постоянно будет ругать при соединении.
Ругаться не будет. Хранится пара хост:порт, а не только хост.

Nao ★★★★★
(12.06.11 18:43:15 MSK)