# [ssh depuis l exterieur] j y arrive pas.

## pathfinder

bonjour a tous

ca risque d etre long

mais j ai tout essaye et je sais plus quoi faire.

voila, j ai mon PC sur dynsdns.org

je pouvais faire un ping et il le voyait

plus maintenant (je sais pas pourquoi)

le truc est que le ping marchait mais ssh il me disait que Port 22 connection unreachable.

ssh ne marche pas sur mon pc.

au niveau du router, je sais plus non plus quoi mettre:

j ai autorise dans les Advanced NAT configuration (ppp-0)

le port 22 depuis toutes les adresses IP (enfin je crois).  

 (Add reserved mapping) et je n ai pas de Global Adress Pool.

voila ce que j ai mis commme parametres:

```

               IP Addresses                               Transport     External Port Range                 Internal Port Range      

                 Global           Inter        Type           Start       End                               Start    End     

Same as interface address    192.168.1.35        tcp               22     22                         22    22

 

```

mais ceci ne marche pas (je sauve et je reinicie le router)

j ai fait aussi ceci:

  iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

  iptables -A INPUT -p tcp --dport 22 -j ACCEPT

(desespere et en root...)

et ssh est installe sur mon PC puisque je ssh vers l esxterieur.

derniere chose au niveau du routeur:

```
                                    Firewall Port Filters: external-internal

Security Policy Configuration:  dans Port Filters, j ai ajoute une entree. ce qui me donne:

Source Address       Destination Address       IP Protocol      Source Port      Destination Port               Direction

                                                              Min    Max        Min       Max          Inbound     Outbound

Any                                 Any           255      N/A    N/A          N/A       N/A             false    true    

Any                   Addr: 192.168.1.0           TCP       22      22          22   22                true    true

                      Mask: 255.255.255.0     

```

Et le firwall du routeur ansi que la security intrusion sont inabilites (seule presente: Security section enabled)

vous pouvez m aider?!

au secours...

au fait, je suis pas sous gentoo sur cette affaire, mais je crois que c est un probleme general, et vous etes mon dernier recours...

desole d apparaitre ici, mon laptop est sur gentoo, et vous avez toujours ete d un grand secours...

j ai meme appele le service technique. et ils m ont dit qu avec add reserved mapping j autorisais l accces depuis l exterieur vers mon routeur.

ils ont ensuite ajoute qu il fallait verifier du cote des iptables

et que dans Security Policy Config il y avait peut etre des trucs a faire mais que ce n etait plus de leur domaine.

j ai mal mis les parametres d entree sortie?

merci a tous pour vos suggestions.

edit: mince, c est incomprehensible, il a vire les espaces que j avais mis pour refaire le tableau de donnees... je fais commment!?

----------

## dapsaille

Houlaaa 

 bonjour à toi 

 tu as ssh mais as tu sshd ?? :p

 Ssh est le client sshd est le demon serveur ...

 verfiie ce point

EDIt un simple ssh localhost devrais t'indiquer si ton serveur tournes bien :p

----------

## kernelsensei

pour eviter toute confusion, c'est openssh qu'il faut installer !

----------

## dapsaille

 *kernel_sensei wrote:*   

> pour eviter toute confusion, c'est openssh qu'il faut installer !

 

Toutes mes confuses  maitre   :Wink: 

----------

## man in the hill

Salut

Je viens de me virer de dyndns pour noip qui ne bug pas pour résoudre mon adresse...

Avant tout comme précise dapsaille configure bien le fichier /etc/ssh/sshd_config  en décommentant les lignes nécessaires :

```

Port   22

Protocole  2

PermitRootLogin   yes  (si tu veux avoir les droits root sur ta machine)

PubkeyAuthentification   yes

AthorisedKeysFile          .ssh/authorized_keys

X11Forwarding      yes (si tu veux exécuter des apps à distance)

X11DisplayOffset   10

```

Pour créer  une paire de clés ( publique et privé) :

```
ssh-keygen -t dsa
```

ensuite tu mets la clé publique sur ton serveur...

Tu dois aussi configuer ton fichier /etc/ssh/ssh_config sur ton client...

Bon je connais pas ton routeur mais pour vérifier si ton port 22 est open , utilise nmap 

```
 nmap  -p22   nom_de_ton_serveur ou son_IP
```

Enfin  tu peux tester chacun de tes ports ici http://www.pcflank.com

Il y a une petite colonne à gauche avec  Test your system , Advanced Port Scanner .

                                                                               @ +

----------

## boozo

'alute

 *man in the hill wrote:*   

> PermitRootLogin   yes  (si tu veux avoir les droits root sur ta machine) 

 

juste une précision... ce n'est pas une très bonne idée de passer cette option à yes

(déjà : authoriser le xforwarding... les deux ensembles... pas glop ! pas glop !  :Mr. Green:  )

mieux vaut laisser cette option à no , se logger en user et passer en root au besoin   :Wink: 

PS: BTW n'autoriser que le protocole 2 et générer les clés en dsa c'est très bien   :Smile: 

----------

## pathfinder

MERCI A TOUS!!!

alors voila:

1/  lrwxrwxrwx  1 root root 13 2005-10-28 15:19 /etc/rc5.d/S20ssh -> ../init.d/ssh

c est mon service lance. j ai bien openssh, j ai aussi sshd, mais il faut que je change ceci?

2/ le fichier sshd__config etait pas tout a fait ok:  j avais genere la cle, mais je l avais pas encore copiee, alors j ai authorise le fichier authorized_keys dans .ssh en tant que root et j y ai copie la cle publique de mon client. ca devrait aider.

je sais pas si je lance bien sshd a l init (cf 1/ )

3/ PermitRoot Login je le laisse a No, merci du rappel

4/ nmap est TRES pratique.

et d ailleurs:

 *Quote:*   

> # nmap -p22 192.168.1.1
> 
> Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-02-16 00:42 CET
> 
> Interesting ports on 192.168.1.1:
> ...

 

DONC ICI IL Y A UN PROBLEME.

je fais comment pour l ouvrir?

il faut que je reconfigure quoi?

En tout cas, merci enormement pour ces reponses, pour nmpa, la cle publique....

4/  et j allais oublier:

 *Quote:*   

> $ ssh localhost
> 
> Password:
> 
> Linux Grasshopper 2.6.12 #1 Wed Jan 18 22:50:48 CET 2006 i686 GNU/Linux
> ...

 

donc le serveur openssh a l air de bien tourner. d ailleur j avais deja fait ceci, depuis un autre user sur cette machine, ca marchait...

please repondez a ma 1/ et si vous voyez une facon simple de regler le probleme de nmap...

Merci encore.

au cas ou, voila mon sshd_config:

 *Quote:*   

> 
> 
> # Package generated configuration file
> 
> # See the sshd( manpage for details
> ...

 

Salut a tous!!!

Ett mille merci!

----------

## killerwhile

si tu arrives à te connecter en local mais que nmap voit le port 22 ouvert, c'est que :

- soit sshd ne tourne qu'en local

- soit le port 22 est firewallé (et encore nmap pourrait répondre autre chose).

un petit

```
netstat -taunp 
```

nous aiderait certainement.

----------

## boozo

heu...

 *Quote:*   

> 1/ lrwxrwxrwx 1 root root 13 2005-10-28 15:19 /etc/rc5.d/S20ssh -> ../init.d/ssh    
> 
> c est mon service lance. j ai bien openssh, j ai aussi sshd, mais il faut que je change ceci?
> 
> 

 

çà viens d'où çà : /etc/rc5.d/S20ssh -> ../init.d/ssh

openssh fourni ssh et sshd mais sshd doit-être lancé !

/etc/init.d/sshd start  et par exemple le mettre au boot

```
rc-update add sshd default
```

----------

## kernelsensei

t'es sous debian ? ^^;  :Laughing: 

----------

## boozo

 *kernel_sensei wrote:*   

> t'es sous debian ? ^^; 

 

c'est bien ce que je me disais aussi mais j'avais pas osé   :Twisted Evil: 

----------

## pathfinder

salut

et remerci

alors voila:

 *Quote:*   

> # netstat -taunp
> 
> Active Internet connections (servers and established)
> 
> Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
> ...

 

puis:

 *Quote:*   

> # /etc/init.d/ssh restart
> 
> Restarting OpenBSD Secure Shell server: sshd.
> 
> 

 

Oui, je suis pas sous gentoo sur ce  coup la (je l avais mis dans mon premier post, c est mon portble qui est sous gentoo, mais j etais desespere et vous repondez tellement bien a mes questions... je pensais pas vous leurrer, je l avais ecrit)

sinon, killerwhile, je crois que tu as mal ecrit ou ma l lu: je driais que nmap me dit que le port 22 est ferme...

bon, de toutes acons, hier j ai repondu enthousiaste a vos questions, il etit tard, mais apres je me suis dit que je devias fouiller nmap tout seul et que certainement ca aiderait, alors j y jette un oeil et apres je vous redonnerai des nouvelles. le truc lourd c est que si je suis a l exterieure et ca marche pasxs je dois attendre de revenir chez moi... c est pourquoi j esperais regler ceci au  pus vite,. mais tant pis, je serai patient et je lirai nmap. il y a des tutos d ailleurs dessus.

je mettrai sshd au boot egalement (j adorerais etre sous gentoo la. I love gentoo, c est foooo)

mais mes servces possibles n incluent pas sshd, juste ssh, je dirais que c est donc correct.

je vais d abord regarder du cote de nmap pour tenter d ouvrir ce port 22.

Merci encore et deole si vous avez eu la sensation d etre leurres, je pensais pas, je l avais d ailleurs mis dans le premier post.

----------

## killerwhile

ouais apparamment c'est ton nat qui n'est pas troué correctement.

moi je regarderais de ce côté-ci.

----------

## pathfinder

flute!

regardez ceci: (j ai juste relance le PC)

 *Quote:*   

> 
> 
> # nmap -p0 192.168.1.1
> 
> Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-02-16 09:38 CET
> ...

 

curieux non?

bon je vais lire

apparemment il y avait un connection hasardeuse: c est revenu:

 *Quote:*   

> # nmap -p0 192.168.1.1
> 
> Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-02-16 09:40 CET
> 
> Interesting ports on 192.168.1.1:
> ...

 

donc je dirais que c est bien le port 22 qui est ferme

je vais regarder ca dans le journee pour l ouvvrir.

le firewall, je crois bien l avoir ouvert depuis longtemps, cf mon premier post, et  c etait pour vraiment m en assurer.

donc ca doit etre au niveau du rtouteur... mais celui ci n a pas de firewall...

a bientot

----------

## PabOu

 *pathfinder wrote:*   

> 
> 
> ```
> # netstat -taunp
> 
> ...

 

tout d'abord, c'est de l'ipv6 ca, il faut donc mettre sshd sur ipv4 (dans ton fichier de config, décommente la ligne "ListenAddress 0.0.0.0"

ensuite, sur ton routeur, tu dois forwarder le port 22

----------

## scout

 *pathfinder wrote:*   

> j ai fait aussi ceci:
> 
>   iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
> 
>   iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 

Si je ne me trompe pas, la 2eme rêgle est bonne, à savoir un paquet:

extérieur:port_machin => toi:22 est autorisé.

Par contre dans l'autre sens:

extérieur:port_machin <= toi:22

et donc c'est le port SOURCE qui est à 22, car c'est toi qui crées le paquet, et le port destination est à port_machin

(enfin si je ne me trompe pas ...)

Voilà en résumé, si j'étais toi, j'utiliserais le module "state" de iptables, qui te permet d'autoriser les connec sortantes, à partir du moment ou le premier paquet d'une connection entrante a été autorisé; parceque si tu met

```
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
```

c'est moins sécu qu'avec le module state ... mais bon au pire tu peux essayer temporairement

----------

## pathfinder

scout, j ai pas tout compris, mais j y jette un oeil.

j ai decommente la ligne de Listen:0.0.0.0 du fichier sshd_config.

pour nmap, vu que c est un scanner de ports, ca risque pas de les ouvrir. je suis en lecture.

sinon, iptables, j ai pas tout saisi, mais forcement, je dois lire.

et je crois que j ai trouve le probleme: (maintenant que la plupart des choses sont reglees, a part peut etre iptables):

 *Quote:*   

> # nmap -p22 192.168.1.35
> 
> Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-02-16 23:14 CET
> 
> Interesting ports on 192.168.1.35:
> ...

 

donc c est pas ouvert a l exterieur... et je sais absolument pas comment faire pour l ouvrir.

c est TRES lourd.

il me reste plus que iptables. 

merci a tous de votre patience.

----------

## scout

 *pathfinder wrote:*   

> sinon, iptables, j ai pas tout saisi, mais forcement, je dois lire.

 

Bon, je vais expliquer dans le détail comme ça marche, désolé si j'explique des trucs que tu sais déja, je ne connais pas ton niveau en réseau.

imagine toi les paquets:

Un paquet IP il a une en-tête avec:

ip source | ip destination | autres infos

et dans tcp y'a les infos ports sources et port destination, donc pour simplifier, un paquet tcp/ip il a une en-tête avec:

ip source | ip destination | autres infos ip | port source | port destination | autres infos tcp

et quand le paquet voyage sur différents routeurs ou pc, l'équipement regarde l'ip de destination, si c'est pour lui il garde, sinon il forwarde (si c'est un routeur par exemple) ou droppe (si c'est un equipement qui ne route rien)

Bon ensuite prenons l'exemple de ta connection ssh de l'extérieur vers chez toi:

le gars à l'extérieur (pinguin) se connecte vers toi (pathfinder), et l'ordi choisi un port source aléatoire noté port 1

donc il émet un paquet

pinguin | ip publique du routeur de pathfinder | blah | port 1 | 22 | blop

quand ton routeur il voit ça, il fait "ah c'est pour moi", puis comme on lui a dit que 22 fallait rediriger, et bien, il le change en 

pinguin | ip interne de pathfinder | blah | port 1 | 22 | blop

et le balance dans le réseau interne

là ton ordi récupère le truc

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT, oki on accepte bien le truc car dport=22

et commence à répondre. Or quand on répond à

A | moi | blah | A_port | moi_port | blop

et bien on fait un paquet pour aller vers A sur le port A_port pour qu'il s'y retrouve

moi | A | blah | moi_port | A_port | blop

donc ici, après la réception du paquet pour se connecter en ssh, ton ordi va répondre, donc le serveur ssh (ou plus précisément la couche tcp du noyau qui va faire coucou j'ai bien reçu) va générer un paquet

ip interne de pathfinder | pinguin | blah | 22 | port 1 | blop

qui va passer dans la chaine OUTPUT de iptables, or

 iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

bah port 1 != 22 donc règle suivante, ah plus de règles, et donc paquet à la poubelle.

Donc, à moins que le port 1 soit à 22 (ce qui n'arrivera pas), ton paquet ne pourra pas sortir.

Alors là 2 solutions:

1- remplacer dport par sport dans la rêgle ci-dessus

c'était la technique utilisée dans les noyaux 2.2 quand il n'y avait pas iptables, mais le truc d'avant ...

ça marche mais il y a mieux

2- utiliser le module state de iptables

le module state, il regarde les débuts de connections, donc ici il va voir passer

pinguin | ip interne de pathfinder | blah | port 1 | 22 | blop

et va se dire "ah mais lui c'est un pote, (on l'a autorisé dans INPUT) je le rajoute à ma table de connecs commençées"

puis dans ton OUTPUT tu met:

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

(ça fait longtemps que je n'en ai plus fait, donc à ne pas prendre pour argent comptant)

qui dit en gros d'autoriser toutes le connections commençées

----------

## _droop_

 *scout wrote:*   

> 
> 
> donc ici, après la réception du paquet pour se connecter en ssh, ton ordi va répondre, donc le serveur ssh (ou plus précisément la couche tcp du noyau qui va faire coucou j'ai bien reçu) va générer un paquet
> 
> ip interne de pathfinder | pinguin | blah | 22 | port 1 | blop
> ...

 

Bonjour,

Bonne réponse de scout   :Smile: 

J'ajoute une précision. Après que le serveur est envoyé ce paquet "ip interne de pathfinder | pinguin | blah | 22 | port 1 | blop". Il faut que le routeur le transforme un peu, sinon le client va être perdu. En effet il envoie une requête à "ip publique du routeur" et reçoit une réponse de "ip interne de pathfinder".

Le routeur devrait masquer l'adresse de pathfinder et mettre la sienne à la place, au final le routeur envoie le paquet :

"ip publique du routeur | pinguin | blah | 22 | port 1 | blop"

Voilà.

----------

## pathfinder

merci pour ces precisions.

j avais una vague idee mais pas du tout aussi claire.

je tente et retente, il y a pas moyen. c est tres lourd, je suis oblige d aller sur l autre machine a 40 bornes pour voir que ca marche pas.

je peux pas faire de ssh sur une autre machine exterieure pour tenter depuis un exterieur genere par ssh...

bon, et le truc est clair. c est le routeur qui bloque. le port 22 est ferme.

ils m ont pourtant dit comment l ouvrir, ca doit pas etre bon.

je vais refaire des tests.

je suis alle sur une page web speciale de mon routeur, avec schemas et photos de la config, et rien a faire. J ai deja fait la manip (j ai suivi le tuto Ouvrir un port de CE routeur); (j avais deja fait cette manip)

je pige plus.

pour info:

connect to host .... port 22: connection refused.

Voila.

Merci encore de vos infos, j ai pas reussi, mais j ai appris.

je retenterai un jour ou j aurai plus de tps 

(et de toutes facons je pensais crasher le disque et le gentooiser, d une bonne fois pour toutes, sauf que la j ai pas le temps du tout)

----------

## xaviermiller

Routeur ou fournisseur d'accès à Internet : j'en ai eu un (de FAI) qui bloquait les ports < 1024 pour les abonnements perso, pour les empêcher de mettre des serveurs ; sachant cela, il n'était pas difficile de mettre par exemple un serveur SSH ou HTTP sur un autre port.

 :Arrow:   essaie un autre port, rien que pour voir

----------

## pathfinder

je savais pas ceci

mais je me disais ce matin: est ce que ssh passe forcememnt par 22 ...

ce serait sympa de tenter, sauf que je sais pas du tout comment faire pour que ssh passe par un autre port que le port 22...

en tout cas, merci du filon. ca rouvre des pistes...

----------

## xaviermiller

changer le port dans /etc/ssh/sshd.conf (ou un truc du genre)

----------

## tlepo

Tu dois modifier le port indiqué dans /etc/ssh/sshd_config (pour autant que ce port ne soit pas utilisé; tu peux t'en assurer avec la commande netstat -tonplu qui liste les ports occupés).

Par exemple:

```

Port 2222

```

Ensuite tu relances ton service sshd:

```

/etc/init.d/sshd restart

```

Pour te connecter:

```

ssh -p 2222 < adresse >

```

A+ T

----------

## Julz

 *pathfinder wrote:*   

> 
> 
> bon, et le truc est clair. c est le routeur qui bloque. le port 22 est ferme.

 

Je vais peut être dire une connerie parce que je n'ai pas le temps de lire tout le fil en détail :

il me semble que tu vérifies que ton port est ouvert en interrogeant ton routeur sur son interface connectée au LAN (192.168.1.1). Si tu veux vérifier que ton routeur route le port 22 correctement, c'est en faisant la vérification sur son interface internet. Depuis un ordinateur qui est sur un autre réseau (c'est impératif, il doit se connecter à Internet par une autre porte que ton routeur), tente la connexion à ssh en donnant l'adresse IP internet du routeur. Si les paramètres de firewall (routeur et hôte) et de sshd sont bons, ça devrait fonctionner.

----------

## xaviermiller

Un truc : vérifier que le port est ouvert avec des systèmes de scan de ports, comme par exemple http://scan.sygatetech.com/

----------

## pathfinder

bon c est curieux.

si je vais sur mozilla a 192.168.1.1 et je regle les NAT settings en ajoutant des reserved mappings:

 *Quote:*   

>                                                                                                                                                       external                                                    internal
> 
>                                                                            pòrt range       port range
> 
>                                                                             start  end     start   end
> ...

 

si je mets la ligne 1 TOUTE SEULE la page web de sygate me dit BLOCKED.

si je mets ET la ligne 1  ET la ligne 2 la page web me dit    21 = OPENED               22 = CLOSED              23 = OPENED.

(en restartant le routeur apres avoir sauve la config)

CLOSED c est different.

resultat ligne 1: SSH  22  BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

resultat lignes 1 ET 2: port 22 :This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

je suis pas en train d executer  une app? pourtant j ai fait:

```
# /etc/init.d/ssh restart

Restarting OpenBSD Secure Shell server: sshd.

```

et d ailleurs:

 *Quote:*   

> # ssh moi@pipo.dyndns.org
> 
> Password:
> 
> Linux Grasshopper 2.6.12 #1 Wed Jan 18 22:50:48 CET 2006 i686 GNU/Linux
> ...

 

(et oui c est debian come vous aviez deja remarque)

donc depuis chez moi ca marche, mais la derniere remarque de la page 1 (merci) est claire: internement ca marche, pas de l exterieur.

ps: je suis desole si c est pas clair, y a pas moyen de rendre un tableau sur ce forum, ou je sais pas faire.

la ligne 1 citee plus haut s interprete:

External port range: start  a 22 et end a 22       (les 2 premiers chiffres)

Internal port Range: start a 22 et end a 22        (les 2 derniers)

la ligne 2, meme chose sauf que 21 et 23.

le bleme c est que du coup les 21 et 23 apparaissent OUVERTS selon la page web... mais pas celui que je veux.

par ailleurs, j ai tente un port 2222 dans mon sshd_config et un restart de mon ssh, mais depuis un serveur exterieur que je ssh depuis ma machine, un ping perd 100% des paquets.

je pige rieen!

je confirme: le ping ne marche pas. depuis 22 ou 2222

edit:

AAaAAAARGH C EST QUOI CE DELIRE!!!! J ai juste retente un OUNG depuis une machine exterieure (de chez moi: ssh machine exterieure: et la, je pingue)

evidemment ca marche pas.

mais la, je relance le SCAN de la page WEB, ::::::: ET:

 *Quote:*   

> 
> 
> FTP    21 BLOCKED   This port has not responded to any of our probes. It appears to be completely stealthed.
> 
> SSH   22    BLOCKED     This port has not responded to any of our probes. It appears to be completely stealthed.
> ...

 

AU SECOURS!!! IL Y A QUOI QUE JE FAIS PAS BIEN!=!=!!!"!="?!=·3    (tout)  

c est peut etre la regle du firewal, qui est pas bien mise, genre state? elle envoit un paquet, via ssh machine exterieure, et du coup quelque chose se bloque;

il faudrait que je nettoie les iptables...

Vous savez si je peux les remettre direct  par defaut et si par chance le port 22 est admis ?

----------

## Julz

pipo.dyndns.org c'est bien ta machine ? Si c'est le cas, sshd répond sur le port 22 (et apache sur le port 80).

```
ssh pipo.dyndns.org

The authenticity of host 'pipo.dyndns.org (83.101.2.13)' can't be established.

RSA key fingerprint is 07:22:43:e2:22:c0:d5:17:96:60:b3:f9:8c:cf:4b:a5.

Are you sure you want to continue connecting (yes/no)? no

```

----------

## pathfinder

mince

non c est pas ma machine

je voulais eviter de la rendre publique au cas ou il y avait des fureteurs qui par hasard tomberaient sur ce forum...

alors j ai mis un nom pipo, comme pipo.

trop bete.

merci d avoir essaye.

c est une coincidence.

desole si je donne pas le nom de ma machine, mais j espere que vous pigerez, que vu mon niveau, je risque enormement si un mal intentionne tombe sur ce topic via le net...

encorepardon

----------

## PabOu

pour le schéma suivant :

j'assume que tu as du NAT chez toi

serveur_ssh----1-----routeur---2----machine_sur_internet

1 = ton réseau local

2 = internet

pour que tout fonctionne, il faut que sshd soit démarré sur serveur_ssh

il faut le port 22 (ou celui que tu as configuré) ouvert sur serveur_ssh en entrée (pour recevoir les requetes) et en sortie (pour pouvoir y répondre)

```
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
```

il faut que le routeur forwarde le traffic de 1 vers 2 (NAT ici)

il faut que le routeur forwarde le port 22 de son ip sur le reseau 2 (ip publique) vers l'ip de serveur_ssh

il te faut un client ssh sur machine_sur_internet pour tester (je suis sur que beaucoup de gens ici seront tres content de pouvoir t'aider et t'éviter de te déplacer à 40 bornes)

----------

## pathfinder

merci encore

bien, alors voyons:

1/ j ai iptables blablabl ce que m a dit PaBou, 

OK.

du coup /etc/init.d restart mon ssh...

je regenere ez-ipupdate.

maintenant, page des scan de sygate...

 *Quote:*   

> We have determined that your IP address is xxxxxxxxxxxxxxxx
> 
> This is the public IP address that is visible to the internet.
> 
> Note: this may not be your IP address if you are connecting through a router, proxy or firewall.
> ...

 

bien

si je ssh un pc exterieur (fac), et depuis celui ci je ping l adresse IP, ca repond OK.

100% recus.

si je pingue avec mon nom dyndns, RIEN DU TOUT.

Autre chose: ssh me refuse l acces, Port closed.

apres avoir fait ceci du ip.

une idee?

----------

## man in the hill

Salut

Si j'ai bien compris , si tu ping  ton pc avec son adresse IP tous les paquets sont reçu...une idée est aussi de changer de service de résolution de nom comme j'ai l'ai déjà dit j'ai eu des problèmes de résolution avec dyndns et jamais avec no-ip...mais bon en gros, il n'y a pas d'histoire  si avec les tests de ports le 22 est tjrs fermer , cela vient soit  tes fichiers de config (client/serveur) ,soit de ton routeur...  

Faut pas mélanger ping et ssh...

Tu peux aussi poster la config html de ton routeur à partir de cette adresse http://www.imageshack.us

Autre chose , au stade ou en  est ton post essais d'être le plus claire possible...

Tu as aussi http://www.pcflank.com pour scanner aussi tes ports ne reste jamais sur une seul alternative...

                                                                       @ +

----------

## PabOu

vérifie que le nom dyndns pointe bien sur ton adresse ip

il existe la commande "host" pour ca

ps : pour moi, dyndns ne m'a jamais posé aucun soucis depuis plusieurs années. j'utilise ddclient en mode "web" pour la mise à jour de l'ip

----------

