kein zugriff auf rechner übers internet?
 

hy!

hab folgendes system:
internet über kabeltv
einen netgear router
hinter dem router der linux rechner + weitere rechner

folgendes problem:
hab red hat installiert. hab darauf auch einen ssh server laufen. dieser funktioniert im eigenen netzwerk auch einwandfrei! (das heißt ich kann von den anderen rechnern mit einem ssh-client einwandfrei darauf zugreifen!)
wenn ich jedoch versuche übers internet mich per ssh auf dem rechner einzuloggen funktioniert es nicht! er sagt, das der host mit der ip... nicht erreichbar ist!
als ip-adresse hab ich die des routers eingegeben! am router leite ich den port 22 zum port 22 des linux rechners weiter!
bei iptables hab ich alles herausgenommen!

ich weiß leider nicht mehr weiter! hoffe ihr könnt mir helfen!

mfg

hast du überhaupt eine öffentl. IP? ansonsten könnte es ja sein, dass dein router hinter einem NAT router sitzt.

gruss
jorge :ms:

da musst du am router das port auf den gewünschten zielrechner (ip) umleiten ;)

hy!

@jorge
glaub schon, dass die folgende ip-adresse öffentlich ist!
62.218.214.xxx
oder?
was meinst du mit dem nat-router?

@rev.antun
wie ich schon geschrieben hab, leite ich den port 22 des routers auf dem port 22 vom linux-rechner! oder muß ich mehr machen?

mfg

@NasenBär: ooops, sorry überlesen. eines ist mir aber noch eingefallen als ip (auf der linux kiste) bekommst du die router ip, nicht die des rechners über den der zugriff erfolgt :rolleyes:

hy!

@rev.antun
wenn ich die verbindung zum linux rechner übers internet versuche herzustellen, gebe ich die ip adresse vom router ein. (62.218.214.xxx)
hast du das gemeint?

mfg

hy!

hab mal ein tracert auf die wcm seite probiert und folgendes bekommen:

Routenverfolgung zu www.wcm.at [80.78.228.21] �ber maximal 30 Abschnitte:

1 <10 ms <10 ms 15 ms 192.168.XXX.XXX ROUTER
2 <10 ms * <10 ms 10.0.0.1 ??????
3 <10 ms 15 ms <10 ms rtlan.ktv-krems.at [62.218.20.65]
4 16 ms 31 ms 16 ms wmich6-19-233.net.uta.at [62.218.19.233]
5 16 ms 16 ms 15 ms c76vix1-g2-2.net.uta.at [212.152.192.6]
6 16 ms 31 ms 32 ms vix.globalcore.net [193.203.0.82]
7 16 ms 47 ms 31 ms sw-vie08-06.globalcore.net [80.78.234.66]
8 16 ms 31 ms 47 ms sw-vie08-02.globalcore.net [80.78.234.102]
9 16 ms 47 ms 62 ms ux3.wcm.at [80.78.228.21]

Ablaufverfolgung beendet.



was soll die private ip-adresse (10.0.0.1) nach meinem router?
ist das vielleicht der grund warum ich nicht vom internet zugriff bekomme?

mfg

Lass mal einen Portscan machen, dann siehst, ob der Port offen ist. z.b. http://www.linux-sec.net/Audit/nmap.test.gwif.html, http://scan.sygatetech.com/

schmeiss das netgear klumpert weg und nimm anstatt einen alten hobel und tu linux drauf ;)

(alternativ kannst mir deine adresse via pm schicken, dann kann ich dir sagen ob's von draussen gehen könnt)

Das mit dem Netgear mein ich ernst.

Ich hab nur schlechte Erfahrungen mit Netgear (und auch mit Bay).

Ein falsches Paketchen und die Kisten (Router & Printserver) sind tot. :mad:

hy!

das mit den portscan muß ich mal ausprobieren!
bis jetzt war ich mit dem netgear zufrieden!

mfg

mach mal einen traceroute vom internet auf deine "öffentliche" ip und poste das ergebnis.
du kannst mir die ip auch privat posten, ich mach das dann für dich; ich habe eine öffentl. ip.

gruss
jorge
:ms:

@ nasenbär:
nat = mach aus 1 öffentlichen ip 1000de, im internet erscheint immer nur eine.

gruss :ms:

diese 10er ip ist wahrscheinlich von einem router des netzanbieters, die braucht dich nicht weiter stören...
is bei chello auch so...

hy!

hab mit sygatetech gescannt und der sagt, dass ich ssh laufen hab!
also funktioniert es doch!
muß die verbindung halt nochmals ausprobieren!

kann es eventuell an den hosts.allow bzw. hosts.deny dateien liegen?
hab in denen nichts notiert!

mfg

Wie hast es denn vorher getestet?

das sollt auch so funktionieren

Hast vielleicht das binding ...
 

verändert ?
Vielleicht horcht ja ssh nur auf localhost , oder ?
netstat -l !
Was kommt raus ?
hosts.allow:

sshd: ALL LOCAL
blabla (alle anderen tcpwrappers services)
hosts.deny:

ALL: ALL

Das 10.0.0.0 ist ein Transfernetz, welches nur zu Accountingzwecken dient.

Schau dir die default INPUT Policy der iptables an.

Viele dists setzen den default value auf drop.

Schau dir die Logfiles an.
/var/log/messages etc.

Sniffe mit tcpdump auf port 22.

tcpdump -i eth1 tcp port 22.

Eth1 -> externes Interface,



Cu.

Fmher

hy!

@frankenheimer
was ich mich noch erinnern kann zeigt netstat, dass ssh auf 0.0.0.0:22 läuft. muß aber nochmals nachschauen!
wenn das der fehler ist, wo kann ich das umstellen?

bei iptables hab ich alle regeln gelöscht, damit ich dieses problem ausschließen kann!

mfg

hy!

netstat -l
tcp 0 0 *:ssh *:* LISTEN

netstat -andp
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 604/sshd

d.h. ssh schaut bei ip 0.0.0.0! ist das der fehler?
wenn ja wie ändere ich das?

tcpdump geht bei mir nicht!?
meinst du mit eht1 eh das eine netzwerkinterface? oder wird dabei noch ein zweites interface benötigt?

nicht nervös werden, wenn meine fragen zu stümperhaft sind! :D
mfg

hy!

tcpdump zeigt folgendes an(in endlosen wiederholungen):
18:13:22.934614 192.168.XXX.XXX.1319 > 192.168.XXX.XXX.ssh: . ack 1259232 win 16320 (DF)
18:13:22.935344 192.168.XXX.XXX.ssh > 192.168.XXX.XXX.1319: P 1259232:1259472(240) ack 15921 win 15456 (DF) [tos 0x10]
18:13:22.936032 192.168.XXX.XXX.ssh > 192.168.XXX.XXX.1319: P 1259472:1259632(160) ack 15921 win 15456 (DF) [tos 0x10]
hatte dabei 2 aufrechte ssh verbindungen!
aber das zeigt ja nur die gesendeten packete an, was bringt das dann?

mfg

Wenn du dich in deinem Lan auf den ssh-Server verbinden kannst, sollte IMHO alles in Ordnung sein. Ich glaube nicht, daß du daran was ändern musst. Wenn etwas nicht funktioniert, liegts eher am Portforwarding vom Router. Der Portscan zeigt auch einen offenen Port an, also sollte auch das funktionieren. Wie hast du festgestellt, daß das vom Internet her nicht funktioniert?

hy!

das einzige was mir bezüglich logfiles aufgefallen ist sind folgende punkte:
1) Jul 13 19:09:03 localhost sshd[604]: Server listening on 0.0.0.0 port 22.

2) Jul 13 19:32:03 localhost sshd[691]: Could not reverse map address 192.168.XXX.XXX.
das ist die adresse des computers im eigenen netz von dem ich mich einlogge.

vielleicht ist es ja eh normal!?

@flinx
hab mich von der arbeit aus versucht einzuloggen. hab als ip-adresse die des routers eingegeben. als ergebnis schreibt er nur, dass der host mit der ip nicht erreichbar ist!
kann der proxy-server in der arbeit vielleicht der grund sein?

mfg

Ja, weil ers nicht auflösen kann. Ein /etc/hosts Eintrag wirkt da Wunder ...
Wenns kein SOCKS-Proxy ist, dann kann er das gar nicht können.
Wahrscheinlich sind von deiner Arbeit aus gar keine direkten Sockets möglich.

Ein letztes Mal ein Vorschlag zur Güte:
Schick mir deine IP als pm.
Ich schwör, dass ich mutwillig nix (böses) anstell.
Wenn nicht kannst mich ja hier als Bösen outen ...

Ok ...
 

dann mach einfach mal ne telnet Verbindung auf port 22 zu deinem Server. Bekommst ne Antwort (socket Verbindung) dann funkts. Du müßtest im auth (secure bei suse und rotkopf)log eine Fehlermeldung bekommen. Dann kannst du ja zuhause den log durchgreppen. Oder ?
Ansonsten wird keine Verbindung von deinem Firmenrechner ins Netz genattet bzw. geforwardet. Wenn du eine socks4 oder 5 Proxy in der Firma hast, würde es auf jedem Fall funken. Unter MS$ weiß nich nicht aber unter Linux brauchst du den dante-client und die libs, dann kannst du den ssh client socksifizieren.

Cu.

Fhmer

Re: Ok ...
 

ad Dante: nur als Client is der vielleicht etwas übertrieben :rolleyes:

- da würd ich eher tsocks empfehlen:
http://tsocks.sourceforge.net/

Für Windown kenn ich nur kommerzielle SOCKS Clients ...

für Windows z.B.

http://www.socks.permeo.com/

Freeware socks unter Google eingeben und man findet noch mehr

Ad Firma/Proxy:

Es gibt auch die Möglichkeit über HTTP zu tunneln. s.u.a.:
http://www.nocrew.org/software/httptunnel.html

hy!

boo hat eine verbindung herstellen können! d.h. es lag am proxy-server der firma!
muß mir mal eure-links durchschauen!
falls was unklar is meld ich mich wieder! :D

nochmals danke für die bereitwilligen auskünfte! :D

mfg

nana, bei der Wahrheit bleiben!

Wahr ist:
Nasenbär hat denn sshd & das NetGear-Klumpert richtig konfiguriert,
sodass seine Box aus dem Internetz via ssh zu erreichen ist,
hat aber keine Möglichkeit das zu testen.
Und das hab ich für ihn erledigt.;)

hy!

nun ist es wieder so weit! ich brauch eure hilfe! :D

hab nun das http-tunneling ausprobieren wollen und komme einfach nicht mehr weiter!
hab mir für winnt die dateien heruntergeladen und ich glaub, dass ich folgenden syntax verwenden muß:
htc -F 22 -P Proxyname:8080

hab auf dem linux rechner das rpm file mit
rpm -U dateiname
installiert.

1)aber was muß ich nun auf dem linux-system machen bzw. wie?
2)stimmt der syntax auf dem client-system?
3)muß ich beim router den port 80 weiterleiten zum linux-system oder einen anderen?
4)fehlt noch was anderes?

mfg

k.a.

Ich hab den httptunnel noch nie verwendet.:(