SSH depuis l'extérieur (redirection NAT)

Fermé
5150 - 26 juil. 2011 à 10:11
Apatik Messages postés 5304 Date d'inscription mercredi 28 janvier 2009 Statut Contributeur Dernière intervention 29 mai 2016 - 28 juil. 2011 à 06:54
Bonjour,


J'essaie d'accéder via SSHv2 à mon pc sous Mint 11 qui est branché en permanence chez moi en filaire sur la neufbox depuis mon laptop de boulot que j'amène au labo (pour me faire un serveur Matlab perso).
J'ai donc fait une redirection de ports depuis le port 22 de ma box vers le port 22 de mon laptop (192.168.1.3)
Ensuite, j'essaie de faire une connection ssh sur l'adresse ip globale de ma box, et elle ne répond pas.

Voici le retour de nmap sur la box :
$ nmap -T4 -p22 78.116.187.53
 
Starting Nmap 5.50 ( http://nmap.org ) at 2011-07-24 15:09 CEST
Nmap scan report for 53.187.116.78.rev.sfr.net (78.116.187.53)
Host is up (0.0015s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh


Résultat similaire avec un nmap sur l'adresse locale de ma box.

Bon je ne me démonte pas, je me dis que ça doit être le laptop linux mint qui doit filtrer les adresses ip non locales.
Pourtant iptables m'a l'air de l'accepter :
$ su -lc 'iptables --list'
Mot de passe : 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  


Et netstat -laputen indique que le port 22 est bien ouvert, en LISTEN.

Bon dernière possibilité, le fichier de configuration de ssh, /etc/ssh/sshd_config, indique peut-être de ne pas répondre aux adresses distantes. Je l'ai épluché et ça n'en a pas l'air (il s'agit de celui de base, je ne l'ai pas changé, hormis pour interdire le rootlogin)


L'un d'entre vous a-t-il une idée ? Soit la box ne redirige pas le port 22 vers 192.168.1.3, soit le laptop refuse de répondre à une adresse distante, mais déjà j'aimerais savoir si c'est l'un ou l'autre.
Merci d'avance

PS : Pour les petits malins, j'ai changé l'ip globale de ma box entre-temps
PPS : Depuis j'ai testé en redirigeant du port 45123 de ma box vers le port 22 du mint, j'ai essayé de changer l'ip locale du mint en 192.168.1.20 puis 192.168.1.71, d'autres trucs aussi dont je ne me souviens plus mais qui n'ont pas marché... Bref un peu tout ce que j'ai pu voir sur des forums mais ça ne m'a pas beaucoup avancé

A voir également:

3 réponses

Apatik Messages postés 5304 Date d'inscription mercredi 28 janvier 2009 Statut Contributeur Dernière intervention 29 mai 2016 782
26 juil. 2011 à 10:15
Je ne maitrise plus nmap mais ça te retourne quoi ça?
ssh user@22 78.116.187.53

En remplaçant bien sur l'user et l'ip par les bons.
0
Apatik Messages postés 5304 Date d'inscription mercredi 28 janvier 2009 Statut Contributeur Dernière intervention 29 mai 2016 782
Modifié par Apatik le 26/07/2011 à 10:21
Je viens de percuter, peut-être que la config ssh interdit/oblige que l'user soit "root", ou quelque chose du genre, en jouant sur les users.
Depuis le mint, t'arrive à te connecter via la boucle local? (localhost), et depuis un autre pc du réseau local?
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 408
26 juil. 2011 à 10:24
Salut,

Normalement la syntaxe est plutôt du genre :

ssh -p port user@IP
0
Apatik Messages postés 5304 Date d'inscription mercredi 28 janvier 2009 Statut Contributeur Dernière intervention 29 mai 2016 782
Modifié par Apatik le 26/07/2011 à 10:26
Je crois me souvenir qu'il prend le 22 par défaut :)
Non?
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 408
26 juil. 2011 à 10:28
Oui.
0
@ Apatik
J'ai bien fait un accès ssh dans les règles de l'art (ssh user@IP)

@ zipe31
Pas besoin de préciser le port lorsqu'il s'agit du 22. Lorsque j'utilise une redirection de port sur ma box j'utilise en effet l'option -p port
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 408
26 juil. 2011 à 10:17
Salut,

Est-ce qu'en local chez toi l'accès ssh à ton PC depuis ton laptop marche ?

Tu essaies bien actuellement de te loguer depuis ton taf ? Et non pas directement depuis chez toi ?
0
J'essaie tout :
Le SSH en utilisant l'adresse locale de mon pc(192.168.1.0/24) fonctionne sans problème (je l'utilise régulièrement en local)
Le SSH en utilisant l'adresse locale de ma box 192.168.1.1 (qui est censée faire une redirection) ne fonctionne pas.
Le SSH en utilisant l'adresse globale de ma box depuis chez moi (donc en étant connecté au réseau local) ne fonctionne pas.
Le SSH en utilisant l'adresse globale de ma box depuis le labo ne fonctionne pas...

Donc sur les 4 étapes il y en a une qui fonctionne... Le serveur SSH tourne. Est-ce que la box ne redirige rien ? Est-ce que le pc sous Mint ne répond pas aux adresses non locales? Le mystère reste entier...
0
Apatik Messages postés 5304 Date d'inscription mercredi 28 janvier 2009 Statut Contributeur Dernière intervention 29 mai 2016 782
26 juil. 2011 à 12:27
La deuxième étape ne doit pas fonctionner. La box route depuis l'extérieur uniquement.
La 3ème, je ne suis pas sur, mais je pense qu'elle devrait
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 408
26 juil. 2011 à 13:07
Le SSH en utilisant l'adresse locale de ma box 192.168.1.1 (qui est censée faire une redirection) ne fonctionne pas.
La redirection se fait sur l'adresse locale (192.168.1.1) ou sur l'adresse publique ?

Le SSH en utilisant l'adresse globale de ma box depuis chez moi (donc en étant connecté au réseau local) ne fonctionne pas.
Normal, si c'est comme chez Orange, on ne peut pas sortir pour entrer de nouveau ;-(

Le SSH en utilisant l'adresse globale de ma box depuis le labo ne fonctionne pas...
Là par contre ce n'est pas normal à condition que tes règles de forwarding soient bonnes ;-\

C'est ce que tu as fait ? Gestion règles NAT SFR
0
Je suis d'accord, c'est normal que les étapes 2 et 3 foirent. En revanche, le forwarding NAT est bien fait normalement, je suis repassé dessus une bonne dizaine de fois depuis ce WE. Je ne pense pas que le forwarding soit en cause, je pense plutôt que le pb vient du pc sous mint.

S'il refuse la connexion d'un pc extérieur, il ne me répond pas c'est normal. Ma question, c'est comment vérifier si le problème vient du Mint ou de la box ?
Sous fedora, j'aurais regardé le /var/log/messages, et j'aurais vu si quelqu'un avait tenté une connexion ssh. En revanche sous mint l'organisation n'est pas la même et je n'ai pas trouvé dans tous les fichiers du log de tentative de connexion, mais comment être sûr que tout est stocké ici ? Je suis en train de poser la mm question sur linuxmint-fr et je n'ai pas encore de réponse.
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 408
26 juil. 2011 à 13:55
Essaie de changer le port d'écoute de ssh sur ton serveur (222 par exemple). Modifies les règles de la box et ressaies un nmap.

Voilà pour exemple ce que ça donne chez moi, Freebox avec un routeur/firewall (IPCop). Pour info, le port 22 n'est pas routé, le port 222 est le ssh de IPCop et le 2222 et celui de mon PC.

$ nmap -PN -T4 -p22 xx.xxx.xx.xxx

Starting Nmap 5.00 ( https://nmap.org/ ) at 2011-07-26 13:45 CEST
Interesting ports on min31-1-xx-xxx-xx-xxx.fbx.proxad.net (xx.xxx.xx.xxx):
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 1.47 seconds

$ nmap -PN -T4 -p222 xx.xxx.xx.xxx

Starting Nmap 5.00 ( https://nmap.org/ ) at 2011-07-26 13:46 CEST
Interesting ports on min31-1-xx-xxx-xx-xxx.fbx.proxad.net (xx.xxx.xx.xxx):
PORT    STATE    SERVICE
222/tcp filtered rsh-spx

Nmap done: 1 IP address (1 host up) scanned in 1.48 seconds

$ nmap -PN -T4 -p2222 xx.xxx.xx.xxx

Starting Nmap 5.00 ( https://nmap.org/ ) at 2011-07-26 13:46 CEST
Interesting ports on min31-1-xx-xxx-xx-xxx.fbx.proxad.net (xx.xxx.xx.xxx):
PORT     STATE SERVICE
2222/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 0.59 seconds

$
0
J'ai trouvé la solution à mon problème : Le problème ne venait pas de la box, et il ne venait pas du serveur non plus mais ... du pare-feu de mon labo, qui empêche les connexions _sortantes_ sur des ports non réservés (du style 45123). Je change donc ce soir pour le port 443 et je réessaye demain. (et je sais que mon problème est solutionné puisque j'ai tenté le ssh en me connectant depuis le réseau wifi d'un macdal et que ça a fonctionné ! )
0
Apatik Messages postés 5304 Date d'inscription mercredi 28 janvier 2009 Statut Contributeur Dernière intervention 29 mai 2016 782
28 juil. 2011 à 06:54
Mc do ne bloque pas les ports autres que le 80? Cool comme info :D
0