информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применениеВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
 Большой вторник патчей от MS 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
естественно, HTTP-прокся. 24.12.03 12:46  Число просмотров: 1743
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
<networking>
объясните, плз, такое поведение прокси 23.12.03 23:58  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
Отредактировано 24.12.03 00:32  Количество правок: 4
<"чистая" ссылка>
или не прокси... =)

Вобщем ситуация такая: где-то в инете есть комп (пусть его IP - 1.2.3.4). На этом компе подняты демон ssh, http, smtp, ftp (но три последних не столь важны). Находясь где-то удалённо, я пытаюсь законнектиться на ssh. И тут происходят непонятные мне вещи.

Если я уоннектюсь со своей работы (схема):

я -> НАТ -> инет -> нужный мне комп с ssh (IP 1.2.3.4)

то коннект проходит нормально (с этим всё понятно).

Но если я сижу дома за проксёй:

я -> маршрутизатор -> прокся -> инет -> нужный мне ssh (IP 1.2.3.4)

то соединения не происходит. Вот что выдаётся:

[fly4life@LapTop fly4life]$ ssh -l root 1.2.3.4
ssh: connect to host 1.2.3.4 port 22: Connection timed out

Посканировал порты на машинке с ssh и вот что выдало:
[fly4life@LapTop fly4life]$ nmap 1.2.3.4 -v -P0

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
No tcp,udp, or ICMP scantype specified, assuming vanilla tcp connect() scan. бла бла бла).
Host  (1.2.3.4) appears to be up ... good.
Initiating Connect() Scan against  (1.2.3.4)
Adding open port 25/tcp
The Connect() Scan took 435 seconds to scan 1601 ports.
Interesting ports on  (1.2.3.4):
(The 1597 ports scanned but not shown below are in state: filtered)
Port       State       Service
23/tcp     closed      telnet
25/tcp     open        smtp
119/tcp    closed      nntp
143/tcp    closed      imap2

Nmap run completed -- 1 IP address (1 host up) scanned in 435 seconds

---
Хотя должно быть вот как:

Port       State       Service
21/tcp     open      ftp
22/tcp     open      ssh
25/tcp     open      smtp
80/tcp     open      httpd

---

Причём, в первом случае (сканирование через проксю) скан не идёт без опции -P0 (пишет: Note: Host seems down. If it is really up, but blocking our ping probes, try -P0)

Вобщем, почему так реагирует прокся (я думаю, что это именно она)? И как мне всё-таки прощемиться на ssh из дома?

П.С. надеюсь, понятно написал. Если что не понятно, то спрашивайте, объясню.
Кстати да 24.12.03 01:53  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Ты так написал странно. С работы у тебя НАТ, а из дома - прокся. Прокся-то тоже ведь НАТ делает?
Видимо, действительно просто разрешён НАТ только на определённые порты. Проверка - заSSHться куда-нибудь ещё.
хм. 24.12.03 02:09  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> Ты так написал странно. С работы у тебя НАТ, а из дома -
> прокся. Прокся-то тоже ведь НАТ делает?

Сорри, что не уточнил. Здесь имелось ввиду, что на работе НАТ на основе iptables, а дома прокся - squid. Т.е. смысл, впринципе, один, но настройки разные.

> Видимо, действительно просто разрешён НАТ только на
> определённые порты. Проверка - заSSHться куда-нибудь ещё.

Попробовал, тоже тайм аут соединения. Такого быть не должно! Значит это накосячил местный админ и стучать по репе ему надо? Блин...
а вот и ни фига 24.12.03 11:38  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> > Ты так написал странно. С работы у тебя НАТ, а из дома
> -
> > прокся. Прокся-то тоже ведь НАТ делает?

Прокся никаких натов не делает, она сама тянет данные с инета и отдает их клиенту.

> Сорри, что не уточнил. Здесь имелось ввиду, что на работе
> НАТ на основе iptables, а дома прокся - squid. Т.е. смысл,
> впринципе, один, но настройки разные.

Смысл ничего общего не имеет (пояснение чуть выше).

squid не умеет проксить ssh, но если допускается метод CONNECT на ssh-порты, то можно всякими прогами типа http-тунелей прокинуть ssh-сессию до сервера.
Вот и ответ на мой вопрос =) 24.12.03 13:10  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Там выше вцепочке ведь ты указал маршрутизатор, и прокся... 25.12.03 23:41  
Автор: butch Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Там выше вцепочке ведь ты указал маршрутизатор, и прокся здесь ни причем, скорее всего все дело в настройках маршрутизатора, может там какойнит файервол стоит, который твои пакеты и режет. Была похожая ситуация, когда знакомого попросил, просканить мой сервер. Результат поразил мои ожидания. Сканирование показало открытые порты которые у меня точно закрыти, и не показало портов который точно открыты, все дело было в маршрутизаторе за которым он сидел, вернее в настройках файервола.
Видимо да, к админу. Перед стучанием предлагаю просто спросить. 24.12.03 02:13  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Снизошло.... (а админ пусть спит пока =)) 24.12.03 02:36  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Только что обратил внимание. На удалённом компе с ssh, ведь, ещё и поднят ФТП сервер. Но сканирование портов не показало, что 21-ый порт открыт. Попытался телнетом законнектиться на 21-ый порт и... фиг там! Тайм аут соединения. НО! броузером,ведь, зайти получилось (а броузер настроен на работу через прокси сервер!). Значит вывод: нужно как-то настроить переменные среды (или что там ещё), чтобы можно было из консоли заходить на ftp и ssh.
Вопрос: Как?

П.С. клиентсяка ОС - Linux
П.П.С. телнетом из консоли попасть на фтп, как я уже сказал, не получилось. Но почему тогда получается тем же телнетом из той же консоли законнектиться на 25-ый порт (т.е. безо всяких там проксей)?
видимо nat все же есть, но пропускает только почту 24.12.03 11:44  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> П.П.С. телнетом из консоли попасть на фтп, как я уже
> сказал, не получилось. Но почему тогда получается тем же
> телнетом из той же консоли законнектиться на 25-ый порт
> (т.е. безо всяких там проксей)?

... либо whitetrue прав насчет другого компа, на который мы почему-то попадаем вместо сервера.
Так ты внеси ясность 24.12.03 11:40  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
ПРОКСЯ твоя домашняя, она НАТ делает или она HTTP-прокся?
естественно, HTTP-прокся. 24.12.03 12:46  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Может другой комп с этим адресом? 24.12.03 09:24  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> Только что обратил внимание. На удалённом компе с ssh,
> ведь, ещё и поднят ФТП сервер. Но сканирование портов не
> показало, что 21-ый порт открыт. Попытался телнетом
> законнектиться на 21-ый порт и... фиг там! Тайм аут
> соединения. НО! броузером,ведь, зайти получилось (а броузер
> настроен на работу через прокси сервер!). Значит вывод:
> нужно как-то настроить переменные среды (или что там ещё),
> чтобы можно было из консоли заходить на ftp и ssh.
> Вопрос: Как?
>
> П.С. клиентсяка ОС - Linux
> П.П.С. телнетом из консоли попасть на фтп, как я уже
> сказал, не получилось. Но почему тогда получается тем же
> телнетом из той же консоли законнектиться на 25-ый порт
> (т.е. безо всяких там проксей)?

То есть, к примеру, в домашней сети существует локальный комп, которому назначен этот адрес. И ты ломишься на него, а не на нужный комп. Поэтому и порты тебе совсем другие показывает.

Или таки что-то с настройками прокси или маршрутизатора и он как-то не тот комп подсовывает вместо нужного (не туда маршрутизирует). Хотя, я не представляю как это может быть...

Еще вариант: тот комп с ssh как-то определяет, что ты через прокси и переадресовывает все твои запросы на какой-то другой комп. Но, это еще более экзотический вариант.

Ну, или че-то с ДНС, если ты по имени, а не по IP обращаешься.

Короче, ИМХО, ты видишь другой комп вместо нужного по этому адресу.
Нет, исключено. В домашней сети только локальные адреса... 24.12.03 12:53  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> То есть, к примеру, в домашней сети существует локальный
> комп, которому назначен этот адрес. И ты ломишься на него,
> а не на нужный комп. Поэтому и порты тебе совсем другие
> показывает.

Нет, исключено. В домашней сети только локальные адреса (192.168.х.х, несколько сегментов), а у нужного мне компа внешний инетовский адрес.

> Или таки что-то с настройками прокси или маршрутизатора и
> он как-то не тот комп подсовывает вместо нужного (не туда
> маршрутизирует). Хотя, я не представляю как это может
> быть...

Может и так ;) Только я тоже не представляю как это возможно.

> Еще вариант: тот комп с ssh как-то определяет, что ты через
> прокси и переадресовывает все твои запросы на какой-то
> другой комп. Но, это еще более экзотический вариант.

Нет, ничего экзотического в настройках того компа с ssh нету - это точно.

> Ну, или че-то с ДНС, если ты по имени, а не по IP
> обращаешься.

Обращался и по имени и по IP - одна фигня. (резолвит IP по имени правильно)

> Короче, ИМХО, ты видишь другой комп вместо нужного по этому
> адресу.

Вобщем, из всего вышесказанного - вижу тот комп, что нужно.
Что за прокси? 24.12.03 01:32  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Я так понял что у тебя дома технологический адрес без ната? Возможно прокся сконфигурена на доступ только к определенным портам.
Squid/2.4.stable6 24.12.03 01:41  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> Я так понял что у тебя дома технологический адрес без ната?

дома у меня обычный локальный адрес (192.168.a.b). Через маршрутизатор своего сегмента я коннектюсь к проксе (у неё тоже внутренний интерфейс имеет локальный адрес, только в другом сегменте).

> Возможно прокся сконфигурена на доступ только к
> определенным портам.

Странно как-то это... Да и не должно быть такого. Раньше (более полугода назад) нормально было. А вот сейчас сунулся и фиг там.
попробуй мимо прокси 24.12.03 09:42  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
зайти на какой-нить сайт тем же осликом. если не получится-значит всё прикрыто и разрешено ходить только через прокси (хороший подход, кстати ;0))

> > Возможно прокся сконфигурена на доступ только к
> > определенным портам.
> Странно как-то это... Да и не должно быть такого. Раньше
> (более полугода назад) нормально было. А вот сейчас сунулся
> и фиг там.
мимо прокси не пускает. 24.12.03 13:07  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Кстати, ИМХО, по этому результату сканирования портов видно на какие порты пускает без прокси:

Port State Service

23/tcp closed telnet
25/tcp open smtp
119/tcp closed nntp
143/tcp closed imap2

Т.е. на 23, 25, 119 и 143. 22-го там нету =(.
ну значить топтай админа ))) 24.12.03 13:38  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach