Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 03/03/2011, à 12:38

lalounator

[Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonjour à tous,

j'ai installé ubuntu server 10.10 et installé openssh dessus. J'y accède sans problème en local sur le port 22, j'ai fait un bind sur 192.168.1.53 (l'IP locale de mon serveur) sur le routeur de la neufbox avec l'adresse MAC et mis en place un DNS local qui renvoie sur l'IP pré-citée.

Maintenant j'ai voulu accéder à ce serveur depuis l'extérieur. N'ayant pas d'IP fixe, j'ai ouvert un compte dyndns que j'ai paramétré dans la neufbox. Ensuite j'ai mis en place une règle de translation NAT qui route le port entrant 2212 (+ sûr que le 22) vers le port 22 sur le serveur.

Lorsque j'essaie d'y accéder, impossible (tant avec l'IP qu'avec le dyndns). Je suis allé faire un scan de mes ports sur un site, et le 2212 apparait fermé...

Faut-il ouvrir le port 2212 quelque part dans la neufbox ?

Merci par avance pour votre aide (et désolé pour la longueur du mail)

lalounator

Dernière modification par lalounator (Le 11/03/2011, à 11:17)


lalounator

Hors ligne

#2 Le 03/03/2011, à 12:44

Tomzz

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonjour,
Je crois me souvenir qu'il faut que tu ouvre le port 22 à tout le monde avec Gufw

Hors ligne

#3 Le 03/03/2011, à 13:09

lalounator

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

BonjourTomzz,

merci pour ta réponse rapide,

cependant je n'ai pas d'interface graphique sur mon serveur, et je ne veux pas ouvrir le port 22 mais le 2212 (c'est plus sûr)

mon iptables est vide (résultat de iptables -L = néant) et la policy par défaut est ALLOW


lalounator

Hors ligne

#4 Le 03/03/2011, à 13:24

francois-web

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonjour lalounator

Première question : as-tu modifié /etc/ssh/sshd_config ?
Si oui, quelles sont les modifs faites aux paramètres Port et ListenAddress ?


22.04 // Gnome-Shell

Hors ligne

#5 Le 03/03/2011, à 13:52

lalounator

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonjour francois-web,

là je suis au bouleau, je regarde ca dès ce soir

toutefois je suis presque sûr de la réponse dans la mesure où j'ai installé openssh avec les options par défaut ; la seule chose que j'ai modifiée ce sont les param permettant l'auth par clef ssh et/ou password.

mais comme dit je confime ce soir (mieux: je poste le sshd_config)

Merci
lalounator


lalounator

Hors ligne

#6 Le 03/03/2011, à 14:34

Tomzz

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

le port entrant 2212 (+ sûr que le 22) vers le port 22 sur le serveur.

cependant je n'ai pas d'interface graphique sur mon serveur, et je ne veux pas ouvrir le port 22 mais le 2212 (c'est plus sûr)

Ça c'est contradictoire, si tu as redirigé le port 2212 sur ton routeur vers 192.168.1.53:22, c'est bien le port 22 qu'il faut ouvrir sur ton serveur.

Sur ton réseau local tu accédera donc en ssh sur le port 22, mais depuis l'extérieur ce sera depuis le port 2212 (redirigé vers le port 22 en interne).
Je ne saisi d'ailleurs pas cette contradiction, parce que ton premier message laisse entendre que tu maitrise bien ce principe (sans doute ai je mal compris le 2ieme message).


Je maitrise mal la config d'iptable, mais sur un desktop j'ai toujours été obligé d'ouvrir le port 22 à tout le monde pour utiliser ssh.


J'insiste, tu ouvre le port 22 dans iptable, mais il n'est pas ouvert dans ton routeur, donc une requête extérieure sur le port 22 n'aboutira pas, ça revient au même (depuis l'extérieur, pas en local) que de configurer ssh sur 2212.
L'avantage est que tu conserve une config par défaut de ton serveur ssh tout en utilisant en fait un autre port.

Dernière modification par Tomzz (Le 03/03/2011, à 14:34)

Hors ligne

#7 Le 03/03/2011, à 15:50

RaizorFold

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonjour à tous.

j'ai fait exactement la même chose (avec Kubuntu desktop), install de openssh-server, aucune modif faite, et tout fonctionne parfaitement.

juste pour être sur, lalounator :

ouvrre cmd (menu démarrer>executer>cmd) ou terminal sous mac et tape :

ssh nom_d'utilisateur_ubuntu@ton_ip(local ou nom dns):port(en local pas besoin de préciser, mais depuis internet, juste le port mappé sur ton routeur)

[edit] en local, pas besoin si tu fais tourner openssh sur le port 22, hein...[/edit]

exemple pour moi : ssh jeezus@mon_ip et ça marche nickel...

normalement tu devrais être prompté pour ton mot de passe (celui de ton user sur ton serveur ubuntu)

note : si tu ne précise pas ton utilisateur, il essaye avec le nom d'utilisateur sur le pc depuis lequel tu essaye de te connecter.. mais, normalement même là tu devrai être prompté pour fournir un password...

j'espère que ça aidera.

let-us know.

Dernière modification par RaizorFold (Le 03/03/2011, à 15:57)

Hors ligne

#8 Le 03/03/2011, à 16:08

lalounator

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Tomzz a écrit :

Sur ton réseau local tu accédera donc en ssh sur le port 22, mais depuis l'extérieur ce sera depuis le port 2212 (redirigé vers le port 22 en interne).
Je ne saisi d'ailleurs pas cette contradiction, parce que ton premier message laisse entendre que tu maitrise bien ce principe (sans doute ai je mal compris le 2ieme message).

effectivement, j'accède bien en local au serveur sur le 22

Tomzz a écrit :

J'insiste, tu ouvre le port 22 dans iptable, mais il n'est pas ouvert dans ton routeur, donc une requête extérieure sur le port 22 n'aboutira pas, ça revient au même (depuis l'extérieur, pas en local) que de configurer ssh sur 2212.

est-ce à dire que le routeur n'accède pas au serveur sur le 22 du fait que ce port n'est pas ouvert ?

ce que je ne comprend pas, c'est que l'iptable est configuré pour tout laisser passer... je posterai ce soir l'iptable de mon serveur pour être sûr.

Merci pour l'aide!


lalounator

Hors ligne

#9 Le 03/03/2011, à 16:14

lalounator

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

RaizorFold a écrit :

Bonjour à tous.

bonjour RaizorFold

RaizorFold a écrit :
ssh nom_d'utilisateur_ubuntu@ton_ip(local ou nom dns):port(en local pas besoin de préciser, mais depuis internet, juste le port mappé sur ton routeur)

j'ai effectivement essayé la connexion avec les infos suivantes (depuis un terminal dans ubuntu):

ssh laloune@laloune

(laloune étant mon login, et aussi le nom de mon serveur) => fonctionne

ssh laloune@192.168.1.53

=> fonctionne

ssh laloune@laloune.dyndns.org -p 2212 

=> ne fonctionne pas

ssh laloune@<mon ip publique> -p 2212

=> ne fonctionne pas


RaizorFold a écrit :

j'espère que ça aidera.

merci pour l'aide!


lalounator

Hors ligne

#10 Le 03/03/2011, à 16:21

Compte supprimé

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonjour,

ssh laloune@<mon ip publique> -p 2212

Cette commande est-elle faite depuis l'extérieur du réseau local ?

Si oui, alors je douterais du bon routage du port 2212 sur le 22 de la bonne machine.

Dernière modification par Compte supprimé (Le 03/03/2011, à 16:32)

#11 Le 03/03/2011, à 16:36

francois-web

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Oui, tout semble indiquer un problème au niveau de la config NeufBox.


22.04 // Gnome-Shell

Hors ligne

#12 Le 03/03/2011, à 16:40

RaizorFold

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

lalounator a écrit :

j'ai effectivement essayé la connexion avec les infos suivantes (depuis un terminal dans ubuntu):

ssh laloune@laloune

(laloune étant mon login, et aussi le nom de mon serveur) => fonctionne

ssh laloune@192.168.1.53

=> fonctionne

ssh laloune@laloune.dyndns.org -p 2212 

=> ne fonctionne pas

ssh laloune@<mon ip publique> -p 2212

=> ne fonctionne pas


RaizorFold a écrit :

j'espère que ça aidera.

merci pour l'aide!

on y est pas encore wink

alors, si tu veux bien, faisons juste un petit topo :

sur ton modem/routeur, tu as mappé quel port vers ta machine ? (2212 si je ne me trompe)
sur ton serveur, quel port est utilisé pour openssh (22 ?)

en local tu y as acces, ce qui n'est pas étonnant...

as tu d'autre pcs en réseau, depuis lesquels tu peux faire un test de connexion ?

-----

de mon coté, je me suis permis d'essayer deux trois trucs :

ping vers ton nom_dns OK
traceroute : NOK pas forcément étonnant

connection en ssh : timed out.


----

à priori, d'après moi... vérifie et indique nous sur quel port tu as mappé sur ta neufbox (vu ton adresse ip publique wink) et quel proto aussi
vérifie et poste nous sur quel port tu fais tourner ton open ssh (nmap 192.168.1.53) devrait te dire :

jeezus@server-linux:/etc/network$ nmap 192.168.2.13

Starting Nmap 5.21 ( http://nmap.org ) at 2011-03-03 16:40 CET
Nmap scan report for server-linux (192.168.2.13)
Host is up (0.00043s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
3689/tcp open  rendezvous

Nmap done: 1 IP address (1 host up) scanned in 0.32 seconds

Hors ligne

#13 Le 03/03/2011, à 16:42

RaizorFold

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

francois-web a écrit :

Oui, tout semble indiquer un problème au niveau de la config NeufBox.

le problem, c'est que j'ay essayé sur les deux ports (22 et 2212) timed out pour les deux...
[edit] tu m'diras, il se peut qu'il n'y ai pas de mappage vers ce port

@ Laloune :

tu pourrais nous faire un copié collé de ce que tu as configurer dans ta neufbox pour le nat vers ton server ubuntu ?
[/edit]

Dernière modification par RaizorFold (Le 03/03/2011, à 16:45)

Hors ligne

#14 Le 03/03/2011, à 16:44

Nasman

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Il faut aussi que depuis l'extérieur tu puisses utiliser ssh.
A mon taf, le proxy bloque. Depuis un autre site où la connexion à internet s'effectue directement il n'y a pas de pb.

J'ai testé ce genre de truc avec 2 serveurs avec port 22 ouvert et redirection par la freebox selon le port exotique utilisé, genre 1xx1 vers serveur 1 et 1xx2 vers serveur 2


PC fixe sous Bionic 64 bits et portable avec Focal 64 bits

Hors ligne

#15 Le 03/03/2011, à 16:59

Tomzz

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

est-ce à dire que le routeur n'accède pas au serveur sur le 22 du fait que ce port n'est pas ouvert ?

ce que je ne comprend pas, c'est que l'iptable est configuré pour tout laisser passer... je posterai ce soir l'iptable de mon serveur pour être sûr.

Alors, ce sujet est effectivement très floue pour moi, et je vais essayer de profiter de ton post pour être éclairé par quelqu'un de plus compétant tongue


J'ai lu ici ou là, tout et son contraire:
Un coup, le pare feu en configuration par défaut est sensé tout laisser passer.
Un coup, on me dit qu'il ne laisse rien passer, mais que l'installation d'un service prévoit automatiquement l'ouverture du port correspondant.


J'avoue n'avoir jamais eu le courage de tester méthodiquement, mais à chaque fois que j'ai du utiliser ssh (toujours sur des desktop) j'ai du ouvrir le port 22 préalablement.


Iptable n'est qu'une interface pour netfilter, du coup, avoir un iptable vide ne semble pas interdire que netfilter ai une config par défaut particulière (permissive ou non).
En fait je n'en sais rien, mais tu pourrais essayer d'ouvrir le port 22 manuellement, par acquis de conscience.

Hors ligne

#16 Le 03/03/2011, à 17:13

Compte supprimé

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Tomzz a écrit :

mais à chaque fois que j'ai du utiliser ssh (toujours sur des desktop) j'ai du ouvrir le port 22 préalablement.

Pour moi c'est le contraire smile je n'ai jamais eu a m'occuper du moindre firewall logiciel ou de ses interfaces. Il suffit d'utiliser son routeur pour rediriger correctement le bon port vers le bon Ubuntu et tout baigne.
Et la littérature du forum confirme cela.

Dernière modification par Compte supprimé (Le 03/03/2011, à 17:19)

#17 Le 03/03/2011, à 17:22

Tomzz

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

J'en perd mon Latin (remarque y avait pas grand chose à perdre côté latin)


La prochaine config vierge je teste ça en détail...

Hors ligne

#18 Le 03/03/2011, à 17:24

Compte supprimé

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Je viens de relire la doc et je ne trouve pas les posts de Hoper sur le sujet.
Mais sur une installation "neuve" et dans un réseau local derrière une box comme nous en avons en France, pas besoin de firewall. Et il n'est pas activé par défaut.

La doc Ubuntu a écrit :

Pertinence d'un Pare-feu pour l'utilisateur normal

Tout comme les Antivirus sont inutiles sous Linux : les pare-feux peuvent être inutile sous Linux.

Si vous êtes sous un routeur IPV4, avec un sous réseau, et sur un réseau sûr, vous n'aurez pas besoin de pare-feu.

EDIT : en voilà un amusant par ici (voir le #15)
http://forum.ubuntu-fr.org/viewtopic.php?id=429649

Dernière modification par Compte supprimé (Le 03/03/2011, à 17:32)

#19 Le 03/03/2011, à 17:32

Tomzz

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

C'est pour ça que je ne sais pas !
Parce que sur 6 machines aux quelles j'accède en ssh (Ubuntu Gnome 10.04) j'ai ouvert le port 22 avec Gufw.


Sur les deux premières ça ne marchait pas avant de l'avoir fait, sur les 4 suivants, je l'ai fais d'entrée sans vérifier (j'avais cherché un petit moment parce que je tenais pour acquis que tout était ouvert par défaut).


Ceci dit il est possible que ce soit une manip antérieure qui m'ait fermé le port 22 sur les deux premiers PC.

Dernière modification par Tomzz (Le 03/03/2011, à 17:33)

Hors ligne

#20 Le 03/03/2011, à 17:35

Compte supprimé

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Qui bene amat, bene castigat. Ton firewall t'a puni, il t'aime trop big_smile

Dernière modification par Compte supprimé (Le 03/03/2011, à 17:44)

#21 Le 03/03/2011, à 19:16

RaizorFold

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

pas de nouvelles de lalounator ??

Hors ligne

#22 Le 03/03/2011, à 22:12

lalounator

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

au temps pour moi, horaires extensibles de travail ces temps ci...

voici les infos:
ssh_config:

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

résultat commande nmap 192.168.1.53:

Starting Nmap 5.21 ( http://nmap.org ) at 2011-03-03 22:06 CET
Nmap scan report for laloune (192.168.1.53)
Host is up (0.0019s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

comment puis-je mettre en ligne les photos pour la config de la neuf box ?

Merci pour votre aide !
laloune


lalounator

Hors ligne

#23 Le 04/03/2011, à 10:08

RaizorFold

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Salut à tous,

Pour ce qui est de la copie d'écran de ta neufbox, si ça t'ennuie de la hoster chez imageshack ou un truc du genre, j'peux t'ouvrir un acces sur le ftp de mon site web, afin de pouvoir l'afficher ici (ou tu peux me l'envoyer  : contact@fassihbelmokhtar.fr, pour que je la host)

au niveau du nmap, effectivement, c'est bon.

par contre, tu pourrais envoyer :

- le contenu de sshd_config (qui je crois est le daemon ssh qui tourne)
- le contenu de ta conf iptables ou netfilter (Fwall, quoi..)

Hors ligne

#24 Le 04/03/2011, à 23:03

lalounator

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Bonsoir à tous,

voici le contenu du sshd_config:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication no
AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

les captures d'écran sont disponibles à l'adresse suivante:
NAT: http://hpics.li/53fa03f
DNS: http://hpics.li/a2de09b

iptables:

*filter
:INPUT ACCEPT [2216:2064079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1502:150647]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Mar  4 23:05:52 2011

je viens de me rendre compte du fail2ban... le problème viendrait-il de là ?

Merci par avance!

A+

Dernière modification par lalounator (Le 04/03/2011, à 23:08)


lalounator

Hors ligne

#25 Le 05/03/2011, à 11:53

francois-web

Re : [Résolu]Accès ssh depuis l'extérieur: port fermé ?!

Le fail2ban pourrait en effet bloquer... C'est souvent pour cela qu'on l'utilise.
Au hasard, une doc sur iptables-save et iptables-restore sur linux-france
On peut ainsi :
- sauvegarder ses tables
- vider ou "flusher" ses tables
- tester
- réinstaller ses tables.


22.04 // Gnome-Shell

Hors ligne