Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Najśmieszniejsze jest to, że na jednej maszynie te same ustawienia działają prawidłowo a na drugiej już za chiny ludowe.
kartę mam ustawioną statycznie w rc.conf (zdefiniowana brama, maska etc.). Ping na adres 14.13.65.17 działa poprawnie ale jak chcę się zalogować przez ssh no to już jest lipa, również z http.
aktualnie mam taki routing:
default 193.193.65.129 UGS 0 9 em0 localhost link#5 UH 0 0 lo0 192.168.1.0 link#3 U 0 66 em1 192.168.1.133 link#3 UHS 0 0 lo0 14.13.65.129/32 00:12:40:77:18:e1 US 0 0 em0 14.13.65.17/29 link#1 U 0 0 em0 14.13.65.17 link#1 UHS 0 0 lo0 => 14.13.65.17/32 00:25:90:75:c8:e1 US 0 0 em0
wpis w rc.conf
ifconfig_em0="inet 14.13.65.17 netmask 255.255.255.248 broadcast 14.13.65.17" defaultrouter="14.13.65.129"
(IP są pozmieniane, ale mniejwięcej tak wyglądaja wpisy)
Jakieś pomysły?
Dodam, że próbowełem:
route add -net ip.ip.ip.ip -iface em0
route add default ip.ip.ip.ip
pomaga jedynie tyle, że jest dostęp do neta
Edit
nie napisałem jakie połączenie, chodzi o połączenie do tego serwera (14.13.65.17) a z niego jak wcześniej napisałem jest ok
Ostatnio edytowany przez jezoo (2012-11-27 18:00:33)
Offline
Skoro masz wyjście na Internet (generalnie to co wychodzi z fbsd), a problemem jest połączenie się z tym serwerem, to lepiej sprawdź czy nie masz włączonego firewalla (pf, iffw czy ipfilter), który blokuje pakiety wchodzące (nie zainicjowane przez siebie)
Ja bym tu szukał problemu.
Offline
firewall'a nie mam, ponieważ jak podłącze do byle jakiego routera to mogę się połączyć po ssh, tak, że ta opcja również odpada.
Próbowałem również przekierować ruch z em0 na em1 i też bez rezultatów.
Dzięki za zainteresowanie.
Offline
A nie masz jakieś opcji debugowania sieci i firewalla?
W iptables jest moduł TRACE, który pokazuje w logach, co się dzieje z pakietem od tablicy RAW -PREROUTING do INPUT i RAW -OUTPUT włącznie, widać wtedy działanie całego routingu przy okazji.
Tu masz opis: http://backreference.org/2010/06/11/iptables-debugging/
Podejrzewam, że we FreeBSD też jest coś podobnego.
Ostatnio edytowany przez Jacekalex (2012-11-21 00:37:55)
Offline
@Jacekalex, tcpdump daje podobne wyniki, jak będę na miejscu to sprawdzę. W tym momencie nie mam jak.
Offline
Może na BSD, na Linuxie jeszcze mi Tcpdump w życiu nie pokazał, na której tablicy fw się pakiet gubi, a miałem już kilka razy podobne cyrki zarówno z fw jak i z routingiem, przy okazji widać, czy to fw zgubił czy roting..
Tcpdump słucha na interfejsach, a nie na poszczególnych segmentach podsystemu sieciowego.
Potrzebujesz raczej narzędzia, które pokazuje, co się dzieje z pakietem przed i po decyzji o routingu.
Offline
wklej
ssh -vvv user@maszyna
mtr ??
nie podoba mi sie ip i broadcast o tym samym ip?
yampress@debian:~$ telnet 14.13.65.17 22 Trying 14.13.65.17... ^C yampress@debian:~$ ping 14.13.65.17 PING 14.13.65.17 (14.13.65.17) 56(84) bytes of data.
deamon ssh włączony?
port logowania 22 ? czy zmieniony?
komputer włączony?
jak firewall?
nie ustawiony dostęp tylko z konkretnego ip?
Offline
Daj nam trochę więcej informacji:
masz em0 (WAN) i em1(LAN)
jak już yampress wspomniał
ifconfig_em0="inet 14.13.65.17 netmask 255.255.255.248 broadcast 14.13.65.17" defaultrouter="14.13.65.129"
ten broadcast nie bardzo pasuje, brama z resztą też nie bardzo, tym bardziej, że wcześniej już nam podałeś domyślą bramę
default 193.193.65.129 UGS 0 9 em0
skoro x.y.65.129 przy masce /29 to inna podsieć, więc potrzebny routing aby szukał go z em0 (co rozumiem z 1-go postu), czyli powinieneś mieć w rc.conf static_routes
daj nam pełniejsze info, możesz podmienić adresy podając np. xx.yy.65.17/29 więc broadcast xx.yy.65.23 - tak żeby się zgadzało.
podaj nam
ifconfig netstat -rn sockstat -4l uname -a
może ewentualnie więcej info z /etc/rc.conf
z której sieci chcesz się łączyć z lan czy z wan, może przed em0 masz coś jeszcze co blokuje inputy
Ostatnio edytowany przez meciarz (2012-11-21 19:44:54)
Offline
konfiguracja jest taka:
ifconfig_em0="inet 193.193.65.137 netmask 255.255.255.248" defaultrouter="193.193.65.129"
netstat -rn
default 193.193.65.129 UGS 0 9 em0 localhost link#5 UH 0 0 lo0 192.168.1.0 link#3 U 0 66 em1 192.168.1.133 link#3 UHS 0 0 lo0 193.193.65.129/32 00:12:40:77:18:e1 US 0 0 em0 193.193.65.137/29 link#1 U 0 0 em0 193.193.65.137 link#1 UHS 0 0 lo0 => 193.193.65.137/32 00:25:90:75:c8:e1 US 0 0 em0
@Yamperss
1) pisałem, że ip są błędne :)
2) serwer włączony
3) port ssh jest pozostawiony 22
4) ssh odpalone
5) dostęp dla wszystkich z wyłączeniem roota
@meciarz
- em1 (lan) DHCP
- dostęp do netu moze być realizowany poprzez em0 (WAN)
Firewalla nie ma
Tak jak pisałem w pierwszym poście, na tej samej konfiguracji jeden serwer już mi działa bez problemu.
Jak podłącze lapka z windowsem i ustawie taką konfigurację to wszystko działa poprawnie
Offline
Spróbuj na Fbsd odpalić nmap'a, i przeskanować komp, z którego próbujesz się łączyć po ssh, i z kompa, z którego nie możesz się łączyć, przeskanuj Fbsd.
Prawdopodobnie dowiesz się czegoś ciekawego.
Użycie:
nmap -sV -O {adres-ip}
I wklej (na wkleja dugowego) wynik
ssh -vvv user@maczyna
o który prosił Yampres.
Bo wróżki tutaj raczej nie znajdziesz, a szklana kula też się gdzieś zawieruszyła. :D
Ostatnio edytowany przez Jacekalex (2012-11-22 17:21:37)
Offline
DenyUsers?
DenyGroup?
w ssh ?
a może coś z konfiguracją nie tak sshd ?
/etc/login.access?
a user na którego się logujesz wcześniej sie dało zalogować? jaka powłoke ma?
nie zmieniałeś haszowania haseł w /etc/login.conf ?
Offline
@Yampress
Na wróżkę raczej się średnio nadajesz ;), lepiej radziłbym poczekać na tego loga z ssh -vvv.
Choć to może potrwać tyle, co te obniżki podatków, które obiecali... :D
Offline
Dzisiaj będę w robocie to sprawdzę, wcześniej nie byłem więc nie wkleiłem .
@Yamperss nic takiego w konfigu nie występuje.
@Jacekalex w serwerowni ja nie nocuje tak jak Ty.
Offline
[quote=jezoo]@Jacekalex w serwerowni ja nie nocuje tak jak Ty.[/quote]
Ja też w robocie nie śpię, nawet bywam tam raczej rzadko, ale mam dostęp właśnie po SSH, przez OpenVPN, i takie tam rożne dziwnoty i fanaberie.
Być może z resztą w robocie powstanie za sprawa mojej osoby brama Ipseca, jak szef załata dziurę w kieszeni :D
W każdym razie Strongswana i Radiusa ma już obczajonego nieźle, na taką okoliczność.
Ostatnio edytowany przez Jacekalex (2012-11-23 13:33:27)
Offline
tak mi sie przypomina co mogł zrobić. po kolei . Im więcej pytań tym kółko się zawężą. I łatwiej wytypować rozwiązanie powstałego problemu.
A tak /etc/rc.conf by się zdłał jeszcze abyś wkleił.
Offline
ping -c3 193.193.65.137 PING 193.193.65.137 (193.193.65.137) 56(84) bytes of data. 64 bytes from 193.193.65.137: icmp_req=1 ttl=61 time=63.1 ms 64 bytes from 193.193.65.137: icmp_req=2 ttl=61 time=2.07 ms 64 bytes from 193.193.65.137: icmp_req=3 ttl=61 time=88.7 ms --- 193.193.65.137 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2001ms rtt min/avg/max/mdev = 2.072/51.322/88.714/36.352 ms
nmap -sV -O 193.193.65.137 Starting Nmap 6.01 ( http://nmap.org ) at 2012-11-23 17:10 CET Nmap scan report for 193.193.65.137 Host is up (0.0039s latency). All 1000 scanned ports on 193.193.65.137 are filtered Too many fingerprints match this host to give specific OS details OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 24.06 seconds
ssh -vvv OpenSSH_5.9p1, OpenSSL 1.0.0j-fips 10 May 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 50: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to 193.193.65.137 [193.193.65.137] port 22. debug1: connect to address 193.193.65.137 port 22: Connection timed out ssh: connect to host 193.193.65.137 port 22: Connection timed out
sockstat -4l
[img]http://i47.tinypic.com/t0m5ig.png[/img]
Offline
All 1000 scanned ports on 193.193.65.137 are [b]filtered[/b][/quote]
&&yampress@debian:~$ telnet 193.193.65.137 22
Trying 193.193.65.137...
^C
yampress@debian:~$[/quote]
nie łączy sie z 22 na tej maszynie.
co jest w tej lini tego pliku za ustawienie?debug1: /etc/ssh/ssh_config line 50: Applying options for *[/quote]
Offline
All 1000 scanned ports on 193.193.65.137 are filtered
Na Linuxie to oznacza jakiegoś firewalla po drodze, podejrzewam, że na BSD też.
Szkoda, że nie użyłeś w nmapie funkcji -O - fingeprinting by pokazał, czy tam widać FreeBSD, czy jakieś dziwadło, może jakieś inne urządzenie pośredniczące.
Albo po prostu skanowałeś nie ten adres co trzeba?
Jakby tam był otwarty port, nawet, jakby na nim nic nie słuchało, miałby wynik open albo closed, jakby tam zobaczył ssh, to by napisał, że widział ssh, i to niezależnie od tego, jaka jest konfiguracja ssh.
~> nmap -sV -p 22 dug.net.pl Starting Nmap 5.51 ( http://nmap.org ) at 2012-11-23 19:12 CET Nmap scan report for dug.net.pl (217.96.37.17) Host is up (0.018s latency). PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.9p1-hpn13v11 (protocol 2.0) Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 0.54 seconds
nmap -sV -p 22 localhost Starting Nmap 5.51 ( http://nmap.org ) at 2012-11-23 19:15 CET Nmap scan report for localhost (127.0.0.1) Host is up (0.000098s latency). PORT STATE SERVICE VERSION 22/tcp closed ssh Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
Także lepiej posprawdzaj kable i adresy, bo coś tam nie bangla, jak powinno.
Offline
No tak ale dziwne, że mógł sie połączyć przy tych ustawieniach na wcześniejszą maszyne.
jezoo wklej /etc/rc.conf
Offline
I jeszcze jedno:
Wynik skanowania FreeBSD nmapem, razem z fingerprintingiem:
nmap -O -sV freebsd.org Starting Nmap 5.51 ( http://nmap.org ) at 2012-11-23 20:21 CET Nmap scan report for freebsd.org (8.8.178.135) Host is up (0.17s latency). rDNS record for 8.8.178.135: freefall.freebsd.org Not shown: 992 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.1_hpn13v11 (FreeBSD 20120901; protocol 2.0) 25/tcp filtered smtp 79/tcp open finger FreeBSD fingerd 80/tcp open http lighttpd 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 443/tcp open ssh OpenSSH 6.1_hpn13v11 (FreeBSD 20120901; protocol 2.0) 445/tcp filtered microsoft-ds Device type: general purpose Running (JUST GUESSING): FreeBSD 7.X|8.X|6.X (95%), PC-BSD (88%), OpenBSD 4.X (85%) Aggressive OS guesses: FreeBSD 7.1-PRERELEASE (95%), FreeBSD 8.0-STABLE (94%), FreeBSD 7.0-RELEASE (93%), FreeBSD 7.1-RELEASE - 8.0-RELEASE (90%), FreeBSD 6.2-RELEASE-p2 (pf with scrub enabled) (89%), PC-BSD 1.3 (88%), FreeBSD 7.0-BETA4 (87%), FreeBSD 8.0-CURRENT (87%), FreeBSD 8.1-STABLE (87%), FreeBSD 8.0-RELEASE (86%) No exact OS matches for host (test conditions non-ideal). Service Info: OS: FreeBSD OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 34.87 seconds
Pozdrawiam
;-)
Offline
nmap jest najsłabszym narzędziem do fingerprintingu.
Zmiana paru opcji sysctl TCP/kernela potrafi go doskonale zmylić. Jak już patrzeć to trzeba użyć 3 narzędzi nmap/ P0f/xprobe aby mieć pewność...
P0f v3 is a 100% passive fingerprinter capable of identifying endpoing operating systems and software in observed communications, detecting NAT, connection sharing, and so forth. An earlier version is integrated in one shape or another with OpenBSD, Ettercap, pfsense, amavisd, postgrey, PRADS, milter, etc. Some useful companion articles: "Nmap's Silent Partner", "Dynamic Honeypots".[/quote]
Offline
Wiem, że jest xprobe i pOf, ale wiem również, że prosiłem o wynik całościowy nmapa -sV -O - gdzie pokazuje otwarte porty i OS.
Pomimo braku doskonałości, jakoś Nmap 5.51 potrafi odróżnić z jakąśtam dokładnością Linuxa, FreeBSD i jakiś router czy switch z ekstra vlanami i portami.
Zwłaszcza, ze na "wątkowym" FreeBSD, na którym nie widać ssh chyba nikt na razie nie majstrował za bardzo w sysctl.
Natomiast fingerprinting pozwoliłby przynajmniej wyjaśnić, czy na adresie IP siedzi BSD, czy co innego.
Można też zobaczyć inaczej:
Na FreeBSD z ifconfiga wyciągnąć mac-adres - IP , potem z zewnątrz arpingiem sprawdzamy adres macowy na podstawie IP, i wiadomo, że mamy do czynienia z tym hostem co trzeba za pośrednictwem switcha, bez żadnego routera z wbudowanym firewallem po drodze.
W "spaghetti" kabli sieciowych walających się tu i tam inaczej czasem ciężko się połapać, zwłaszcza dziedzicząc bajzel po zielonych, jak pietruszka lamerach, którzy właśnie przed chwilą wylecieli.
Bo sytuacja, kiedy na FBSD nie ma włączonego żadnego firewalla, a skaner pokazuje tylko filtrowane porty, trochę mnie dziwi.
Zwłaszcza, jak tam wisi jakaś usługa sieciowa.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-11-23 23:08:49)
Offline
@jezoo
tak jak wcześniej koledzy napisali dwie rzeczy z danych których podałeś :
All 1000 scanned ports on 193.193.65.137 are filtered
oraz
ssh: connect to host 193.193.65.137 port 22: Connection timed out
mogą świadczyć o jakimiś filtrze pakietów na samym systemie lub po drodze do tego serwera na przykład na jakimś routerze czy firewallu gdzie może być blokowany ruch po ssh.
Offline
Dlatego chce zobaczyc /etc/rc.conf. gdzie może być włączony firewall. FreeBSD ma 3 firewale....
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-apps.html
I aby wykluczyć jeszcze temat firewala na samym serwerze. Potem temat drogi do serwera ..... potem już sam serwer.
[b]jezoo chyba nie edytowałeś nic w /etc/defaults/rc.conf ?[/b]
Offline
@Yampress nie do końca, bo dodawałem wpisy odnośnie konfiguracji em0 i tyle,
aha i sshd_enable="YES" i tyle
Offline
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00008 | SET NAMES latin2 |
0.00150 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.96.108' WHERE u.id=1 |
0.00080 | UPDATE punbb_online SET logged=1732453776 WHERE ident='3.144.96.108' |
0.00056 | SELECT * FROM punbb_online WHERE logged<1732453476 |
0.00038 | SELECT topic_id FROM punbb_posts WHERE id=215470 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=22332 ORDER BY posted |
0.00064 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22332 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00312 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22332 ORDER BY p.id LIMIT 0,25 |
0.00085 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22332 |
Total query time: 0.0082 s |