LINUX.ORG.RU

ssh troubles sad sad sad

 , , ,


0

2

Добрый вечер, господа линуксоиды. Столкнулся с следующей проблемой. Есть два ноутбука, на одном гента, на другом минт, ну и есть желание чтобы они общались через ssh. Делал все по рукокниге тык и по бубунтовике тык. Но к сожалению зафейлилися. При ssh -p 2222 akhmylin@мойip получаю следующее

ssh: connect to host мойip port 2222: Connection timed out
ЧЯДНТ.
Сервер - гента
Клиент - минт

Ответ на: комментарий от zolden
lsof -i :2222
COMMAND   PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd    10649 root    3u  inet 1967895      0t0  TCP *:2222 (LISTEN)
akhmylin
() автор топика
Ответ на: комментарий от akhmylin

Файрвол проверь, маршруты. Пинги хотя бы ходят?

tiandrey ★★★★★
()
Ответ на: комментарий от akhmylin

Ок, теперь опиши, где находится клиент, где сервер. Что за <мой IP> - это внутренний или маршрутизируемый в интернете?

Клиент и сервер в одной подсети или нет?

Покажи ещё правила iptables.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от zolden
ssh -vvv -p 2222 akhmylin@мойip
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.1.36 [192.168.1.36] port 2222.
debug1: connect to address 192.168.1.36 port 2222: Connection timed out
ssh: connect to host 192.168.1.36 port 2222: Connection timed out 
akhmylin
() автор топика
Ответ на: комментарий от Chaser_Andrey

где находится клиент, где сервер.

дома
ip смотрел через ifconfig после inet.

Клиент и сервер в одной подсети или нет?

Судя по всему да.
Правила iptables

# Generated by iptables-save v1.4.21 on Tue Nov 17 23:38:55 2015
*mangle
:PREROUTING ACCEPT [87176759:98320148093]
:INPUT ACCEPT [86843806:98163442156]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66201464:35853708618]
:POSTROUTING ACCEPT [66201766:35853718826]
COMMIT
# Completed on Tue Nov 17 23:38:55 2015
# Generated by iptables-save v1.4.21 on Tue Nov 17 23:38:55 2015
*filter
:INPUT DROP [20576:1285903]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [65076034:35690658401]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
COMMIT
# Completed on Tue Nov 17 23:38:55 2015

akhmylin
() автор топика
Ответ на: комментарий от akhmylin

Рекомендую разобраться, как работает firewall и как он у тебя настроен.

Chaser_Andrey ★★★★★
()

Chaser_Andrey, zolden

Вы советовали проверить занятость порта, несмотря на то, что у ТС Connection timed out, а не Connection refused. Линукс может просто дропать пакеты на незанятые порты вместо отсылки TCP RST (без помощи netfilter, конечно)?

Deleted
()
Ответ на: комментарий от deity

Раз ты спрашиваешь, значит ты полагаешь, что лет мне немного... И да!!!!!!1111 Ты угадал, мне 15... скоро будет. Я школьник, мамкин отличник.
А к линуксу это имеет такое отношение, что хочется от души поблагодарить всех господ линуксоидов за оказанную им помощь. Про фаервол почитаю.

akhmylin
() автор топика
Ответ на: комментарий от Deleted

Линукс может просто дропать пакеты на незанятые порты вместо отсылки TCP RST (без помощи netfilter, конечно)?

Да. У тебя же файрволл так и делает - все явно не разрешенные пакеты дропает, а не реджектит.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Я имею в виду не правило iptables, а какую-нибудь sysctl-настройку ядра. Например, net.ipv4.icmp_echo_ignore_all заставляет ядро не отвечать на пинги. Мне нужна подобая настройка для незанятых tcp/udp портов.

Deleted
()
Ответ на: комментарий от Deleted

Чёрт, я упустил упоминание netfilter.

Вообще я спросил, а то может у тебя на другом порту висит sshd, может, ты пытаешься соединяться к серверу за роутером, и т.д. Т.е., вначале я хотел исключить ситуацию некорректной настройки сервера, и понять, какие вопросы задавать дальше.

а какую-нибудь sysctl-настройку ядра. Например, net.ipv4.icmp_echo_ignore_all заставляет ядро не отвечать на пинги. Мне нужна подобая настройка для незанятых tcp/udp портов.

Я не сталкивался с такой задачей. Почему не netfilter?

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Я не сталкивался с такой задачей. Почему не netfilter?

Ну это не задача, мне просто было интересно. В grsecurity есть такое, может было бы и в стоковом ядре. В любом случае, спасибо за ответ!

Deleted
()
Ответ на: комментарий от Deleted

Представь что пакеты дропнулись посередине, а сервер даже и не был запущен

zolden ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.