# (risolto con formattazione) problema SSH e NAT

## danielinor0x

Ciao, ho un problema con la mia gentoo box:

Ho startato sshd ho nattato la 22 sul router e ho creato le regole del firewall sempre sul router, iptables nn è installato nella box e  /proc/sys/net/ipv4/ip_forward è settato su 1.

con un nmap la porta risulta aperta xò mi dà sempre connessione rifiutata.. da cosa potrebbe dipendere? (il nat del router funziona benissimo)

grazie in anticipo per le risposte ^^Last edited by danielinor0x on Wed Nov 19, 2008 8:38 pm; edited 1 time in total

----------

## Peach

riporta 

```
# netstat -ltn
```

e controlla in /var/log/messages se i tentativi d'accesso sono stati registrati

----------

## danielinor0x

```
server log # netstat -ltn

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN

tcp6       0      0 :::22                   :::*                    LISTEN

server log #
```

ho provato anche a mettere in listen su local 

```
server conf.d # netstat -ltn

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 127.0.0.1:22            0.0.0.0:*               LISTEN

server conf.d #
```

```

Nov 16 15:52:42 server sshd[18572]: Received signal 15; terminating.

Nov 16 15:52:42 server sshd[32370]: Server listening on 127.0.0.1 port 22.

Nov 16 15:55:37 server sshd[32370]: Received signal 15; terminating.

Nov 16 15:55:37 server sshd[31352]: Server listening on 192.168.1.2 port 22.
```

e questi sono i tentativi di bind miei

ma niente da fare..

----------

## Peach

 *danielinor0x wrote:*   

> 
> 
> ```
> server log # netstat -ltn
> 
> ...

 

se metti localhost non serve a niente

ti consiglio di lasciare solo

```
Port 22
```

e di commentare ListenAddress

poi riavvia sshd e prova a loggarti dalla macchina stessa usando l'ip assegnato.

poi volevo sapere: come fai i tentativi di accesso da fuori del router?

----------

## danielinor0x

basta mettere come ip quello pubblico invece dell'ip di rete.. in lan funziona tutto tranquillo ma a me serve che mi posso connettere da remoto..

cmq anche commentando listenaddress nn serve a niente.. stò impazzendo da ieri..

```
server log # ssh danielino.****.info

ssh: connect to host danielino.****.info port 22: Connection refused

server log #

```

----------

## Peach

 *danielinor0x wrote:*   

> basta mettere come ip quello pubblico invece dell'ip di rete.. 

 

che? non mi è molto chiara la cosa, però penso che la cosa migliore sia prendere un amico e domandargli se fa un `ssh tuo_ip_pubblico`

perché mi sa che se ti cambi l'ip in quello pubblico salta il senso di quello che stai cercando di fare...

[edit] in ogni caso, per favore, commenta listen e lascia solo la porta in sshd_config e prova a fare un `ssh tuo_ip_lan` per vedere se ti accetta la connessione

se si allora è un problema di router, e cmq prendi un qualsiasi tuo amico e chiedigli di vedere se il tuo pc gli risponde via ssh.

----------

## danielinor0x

O.O vabbè cmq ho provato anche con degli amici e nn funziona lo stesso.. cmq se tu da una macchina provi in ssh il tuo ip pubblico è come se stai da un'altra parte xkè nn passa per la rete lan ma per la wan

----------

## Peach

 *danielinor0x wrote:*   

> O.O vabbè cmq ho provato anche con degli amici e nn funziona lo stesso.. cmq se tu da una macchina provi in ssh il tuo ip pubblico è come se stai da un'altra parte xkè nn passa per la rete lan ma per la wan

 

 *Peach wrote:*   

> [edit] in ogni caso, per favore, commenta listen e lascia solo la porta in sshd_config e prova a fare un `ssh tuo_ip_lan` per vedere se ti accetta la connessione
> 
> se si allora è un problema di router,

 

----------

## danielinor0x

no nn è un problema di router, perchè con windows natta tutto regolarmente.. e ssh in rete và benissimo

----------

## Peach

i log non registrano nulla? nessun tentativo di connessione?

[edit] mi è venuto in mente anche un'altra cosa: hai provato a nattare una porta esterna diversa dalla 22? tipo metti la 2200 e internamente tieni la 22.

anche perché se in rete funziona ssh, non trovo nessun motivo per cui da fuori non debba funzionare: in fondo è il router (dispositivo della LAN) che cerca di parlare con il tuo pc, quindi nulla di diverso che fosse un altro pc nella rete lan che cerca di accedere via ssh. Questo significa che a rigor di logica, o il tuo pc ha il router blacklistato firewallato o non so cosa, oppure c'è qualche casino nella conf del router. imho la seconda.

----------

## mack1

Ciao io ho avuto un problema con ssh dopo un'aggiornamento alla versione openssh-5.1_p1-r1, però il mio problema era dovuto ad una configurazione errata di pam.

Comunque visto che "tentar non nuoce" prova a disabilitare pam:

```

UsePAM no

```

Ciao

----------

## danielinor0x

 *Quote:*   

> [edit] mi è venuto in mente anche un'altra cosa: hai provato a nattare una porta esterna diversa dalla 22? tipo metti la 2200 e internamente tieni la 22.
> 
> anche perché se in rete funziona ssh, non trovo nessun motivo per cui da fuori non debba funzionare: in fondo è il router (dispositivo della LAN) che cerca di parlare con il tuo pc, quindi nulla di diverso che fosse un altro pc nella rete lan che cerca di accedere via ssh. Questo significa che a rigor di logica, o il tuo pc ha il router blacklistato firewallato o non so cosa, oppure c'è qualche casino nella conf del router. imho la seconda.

 

eh nella conf del router nn c'è casino xkè ora nn per stare qui a vantarmi ma gestisco un laboratorio di informatica qui a latina e ci occupiamo di assistenza hw sw..

cmq per scrupolo ho provato anche un altro router e nn và lo stesso.. ora provo con il suggerimento di mack1

cmq grazie a tutti per le risposte ^^

edit: nn và lo stesso..  :Sad:  ma può essere che funziona con qualsiasi servizio tranne ssh? -_-

edit2: 

```
Starting Nmap 4.75 ( http://nmap.org ) at 2008-11-17 22:17 Central Europe Standard Time

Interesting ports on host****.retail.telecomitalia.it (******):

Not shown: 95 closed ports

PORT STATE SERVICE

53/tcp open domain

80/tcp open http

1720/tcp filtered H.323/Q.931

2121/tcp open ccproxy-ftp         <--- porta ssh 

8080/tcp filtered http-proxy
```

l'ssh port è 2121

Nmap done: 1 IP address (1 host up) scanned in 2.75 seconds

----------

## oRDeX

```

Nov 16 15:52:42 server sshd[18572]: Received signal 15; terminating.

Nov 16 15:52:42 server sshd[32370]: Server listening on 127.0.0.1 port 22.

Nov 16 15:55:37 server sshd[32370]: Received signal 15; terminating.

Nov 16 15:55:37 server sshd[31352]: Server listening on 192.168.1.2 port 22.
```

e questi sono i tentativi di bind miei

ma niente da fare..[/quote]

Ma questo e` il tuo log durante i tentativi di connessione dall'esterno? (non avevo ben capito)

Comunque, fare ssh IP_pubblico dall'interno non sempre e` la stessa cosa di provare dall'esterno.

Dipende da com`e` configurato il router a basso livello; probabilmente la tua richiesta arrivando dall'interfaccia interna arriva direttamente al router senza fare "il giro" e quindi la regola di natting potrebbe non matchare (Comportamento alla fine regolare).

----------

## danielinor0x

si ma cmq anche dall'esterno è uguale.. 

e cmq quelli sono i restart di sshd con un listening diverso anzichè 0.0.0.0 ho provato con 127.0.0.1 e 192.168.1.2

cmq il succo del discorso è il router funziona benissimo ma nn permette l'accesso in ssh alla macchina.. x quale arcano motivo? 

le cose + probabili sono firewall del router e firewall della macchina.. ma il primo è configurato bene e il secondo nn esiste xkè nn ho nessun fw su gentoo (iptables etc.)

----------

## Peach

 *danielinor0x wrote:*   

> si ma cmq anche dall'esterno è uguale.. 
> 
> e cmq quelli sono i restart di sshd con un listening diverso anzichè 0.0.0.0 ho provato con 127.0.0.1 e 192.168.1.2
> 
> cmq il succo del discorso è il router funziona benissimo ma nn permette l'accesso in ssh alla macchina.. x quale arcano motivo? 
> ...

 

prendi un servizio a cui riesci ad accedere esternamente al firewall, ad esempio la porta 80,

metti ssh in ascolto sulla 80 e vedi se funziona

tentar nn nuoce

----------

## danielinor0x

ci ho già provato e nn funziona lo stesso (con ssh)  :Sad: 

----------

## horace

questo è il mio sshd_config, spero possa esserti utile!

```

#       $OpenBSD: sshd_config,v 1.72 2005/07/25 11:59:40 markus Exp $

# This is the sshd server system-wide configuration file.  See

# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented.  Uncommented options change a

# default value.

Port 22

Protocol 2

#AddressFamily any

#ListenAddress 192.168.1.2

#ListenAddress ::

# HostKey for protocol version 1

#HostKey /etc/ssh/ssh_host_key

# HostKeys for protocol version 2

#HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key

#KeyRegenerationInterval 1h

#ServerKeyBits 768

# Logging

# obsoletes QuietMode and FascistLogging

SyslogFacility AUTH

LogLevel INFO

# Authentication:

#LoginGraceTime 2m

PermitRootLogin no

#StrictModes yes

#MaxAuthTries 6

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile      .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

# similar for protocol version 2

#HostbasedAuthentication no

# Change to yes if you don't trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no

# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!

PasswordAuthentication no

PermitEmptyPasswords no

# Change to no to disable s/key passwords

#ChallengeResponseAuthentication yes

# Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

#KerberosGetAFSToken no

# GSSAPI options

#GSSAPIAuthentication no

#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,

# and session processing. If this is enabled, PAM authentication will

# be allowed through the ChallengeResponseAuthentication mechanism.

# Depending on your PAM configuration, this may bypass the setting of

# PasswordAuthentication, PermitEmptyPasswords, and

# "PermitRootLogin without-password". If you just want the PAM account and

# session checks to run without PAM authentication, then enable this but set

# ChallengeResponseAuthentication=no

#UsePAM yes

#AllowTcpForwarding yes

#GatewayPorts no

#X11Forwarding no

#X11DisplayOffset 10

#X11UseLocalhost yes

#PrintMotd yes

#PrintLastLog yes

#TCPKeepAlive yes

#UseLogin no

UsePrivilegeSeparation yes

#PermitUserEnvironment no

#Compression delayed

#ClientAliveInterval 0

#ClientAliveCountMax 3

#UseDNS yes

#PidFile /var/run/sshd.pid

#MaxStartups 10

# no default banner path

#Banner /some/path

# override default of no subsystems

Subsystem       sftp    /usr/lib/misc/sftp-server

```

----------

## danielinor0x

grazie a tutti per l'aiuto che mi avete dato però ho reinstallato e adesso funziona tutto regolarmente.. forse c'era qualche parametro errato.. bho  :Very Happy: 

----------

## .:deadhead:.

Sigh... una cosa un po' alla windows maniera  :Sad:  Magari la prossima volta non demordere così in fretta: ora non sapremo mai perchè non andava...

----------

