Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
Вот и ответ на мой вопрос =) 24.12.03 13:10 Число просмотров: 2421
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
|
|
|
<networking>
|
объясните, плз, такое поведение прокси 23.12.03 23:58
Автор: fly4life <Александр Кузнецов> Статус: Elderman
Отредактировано 24.12.03 00:32 Количество правок: 4
|
или не прокси... =)
Вобщем ситуация такая: где-то в инете есть комп (пусть его IP - 1.2.3.4). На этом компе подняты демон ssh, http, smtp, ftp (но три последних не столь важны). Находясь где-то удалённо, я пытаюсь законнектиться на ssh. И тут происходят непонятные мне вещи.
Если я уоннектюсь со своей работы (схема):
я -> НАТ -> инет -> нужный мне комп с ssh (IP 1.2.3.4)
то коннект проходит нормально (с этим всё понятно).
Но если я сижу дома за проксёй:
я -> маршрутизатор -> прокся -> инет -> нужный мне ssh (IP 1.2.3.4)
то соединения не происходит. Вот что выдаётся:
[fly4life@LapTop fly4life]$ ssh -l root 1.2.3.4
ssh: connect to host 1.2.3.4 port 22: Connection timed out
Посканировал порты на машинке с ssh и вот что выдало:
[fly4life@LapTop fly4life]$ nmap 1.2.3.4 -v -P0
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
No tcp,udp, or ICMP scantype specified, assuming vanilla tcp connect() scan. бла бла бла).
Host (1.2.3.4) appears to be up ... good.
Initiating Connect() Scan against (1.2.3.4)
Adding open port 25/tcp
The Connect() Scan took 435 seconds to scan 1601 ports.
Interesting ports on (1.2.3.4):
(The 1597 ports scanned but not shown below are in state: filtered)
Port State Service
23/tcp closed telnet
25/tcp open smtp
119/tcp closed nntp
143/tcp closed imap2
Nmap run completed -- 1 IP address (1 host up) scanned in 435 seconds
---
Хотя должно быть вот как:
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open httpd
---
Причём, в первом случае (сканирование через проксю) скан не идёт без опции -P0 (пишет: Note: Host seems down. If it is really up, but blocking our ping probes, try -P0)
Вобщем, почему так реагирует прокся (я думаю, что это именно она)? И как мне всё-таки прощемиться на ssh из дома?
П.С. надеюсь, понятно написал. Если что не понятно, то спрашивайте, объясню.
|
|
Кстати да 24.12.03 01:53
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Ты так написал странно. С работы у тебя НАТ, а из дома - прокся. Прокся-то тоже ведь НАТ делает?
Видимо, действительно просто разрешён НАТ только на определённые порты. Проверка - заSSHться куда-нибудь ещё.
|
| |
хм. 24.12.03 02:09
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> Ты так написал странно. С работы у тебя НАТ, а из дома -
> прокся. Прокся-то тоже ведь НАТ делает?
Сорри, что не уточнил. Здесь имелось ввиду, что на работе НАТ на основе iptables, а дома прокся - squid. Т.е. смысл, впринципе, один, но настройки разные.
> Видимо, действительно просто разрешён НАТ только на
> определённые порты. Проверка - заSSHться куда-нибудь ещё.
Попробовал, тоже тайм аут соединения. Такого быть не должно! Значит это накосячил местный админ и стучать по репе ему надо? Блин...
|
| | |
а вот и ни фига 24.12.03 11:38
Автор: LLL <Алексей> Статус: Member
|
> > Ты так написал странно. С работы у тебя НАТ, а из дома
> -
> > прокся. Прокся-то тоже ведь НАТ делает?
Прокся никаких натов не делает, она сама тянет данные с инета и отдает их клиенту.
> Сорри, что не уточнил. Здесь имелось ввиду, что на работе
> НАТ на основе iptables, а дома прокся - squid. Т.е. смысл,
> впринципе, один, но настройки разные.
Смысл ничего общего не имеет (пояснение чуть выше).
squid не умеет проксить ssh, но если допускается метод CONNECT на ssh-порты, то можно всякими прогами типа http-тунелей прокинуть ssh-сессию до сервера.
|
| | | |
Вот и ответ на мой вопрос =) 24.12.03 13:10
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
|
|
| | | | |
Там выше вцепочке ведь ты указал маршрутизатор, и прокся... 25.12.03 23:41
Автор: butch Статус: Незарегистрированный пользователь
|
|
Там выше вцепочке ведь ты указал маршрутизатор, и прокся здесь ни причем, скорее всего все дело в настройках маршрутизатора, может там какойнит файервол стоит, который твои пакеты и режет. Была похожая ситуация, когда знакомого попросил, просканить мой сервер. Результат поразил мои ожидания. Сканирование показало открытые порты которые у меня точно закрыти, и не показало портов который точно открыты, все дело было в маршрутизаторе за которым он сидел, вернее в настройках файервола.
|
| | |
Видимо да, к админу. Перед стучанием предлагаю просто спросить. 24.12.03 02:13
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | |
Снизошло.... (а админ пусть спит пока =)) 24.12.03 02:36
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
Только что обратил внимание. На удалённом компе с ssh, ведь, ещё и поднят ФТП сервер. Но сканирование портов не показало, что 21-ый порт открыт. Попытался телнетом законнектиться на 21-ый порт и... фиг там! Тайм аут соединения. НО! броузером,ведь, зайти получилось (а броузер настроен на работу через прокси сервер!). Значит вывод: нужно как-то настроить переменные среды (или что там ещё), чтобы можно было из консоли заходить на ftp и ssh.
Вопрос: Как?
П.С. клиентсяка ОС - Linux
П.П.С. телнетом из консоли попасть на фтп, как я уже сказал, не получилось. Но почему тогда получается тем же телнетом из той же консоли законнектиться на 25-ый порт (т.е. безо всяких там проксей)?
|
| | | | |
видимо nat все же есть, но пропускает только почту 24.12.03 11:44
Автор: LLL <Алексей> Статус: Member
|
> П.П.С. телнетом из консоли попасть на фтп, как я уже
> сказал, не получилось. Но почему тогда получается тем же
> телнетом из той же консоли законнектиться на 25-ый порт
> (т.е. безо всяких там проксей)?
... либо whitetrue прав насчет другого компа, на который мы почему-то попадаем вместо сервера.
|
| | | | |
Так ты внеси ясность 24.12.03 11:40
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
ПРОКСЯ твоя домашняя, она НАТ делает или она HTTP-прокся?
|
| | | | | |
естественно, HTTP-прокся. 24.12.03 12:46
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
|
|
| | | | |
Может другой комп с этим адресом? 24.12.03 09:24
Автор: whiletrue <Роман> Статус: Elderman
|
> Только что обратил внимание. На удалённом компе с ssh,
> ведь, ещё и поднят ФТП сервер. Но сканирование портов не
> показало, что 21-ый порт открыт. Попытался телнетом
> законнектиться на 21-ый порт и... фиг там! Тайм аут
> соединения. НО! броузером,ведь, зайти получилось (а броузер
> настроен на работу через прокси сервер!). Значит вывод:
> нужно как-то настроить переменные среды (или что там ещё),
> чтобы можно было из консоли заходить на ftp и ssh.
> Вопрос: Как?
>
> П.С. клиентсяка ОС - Linux
> П.П.С. телнетом из консоли попасть на фтп, как я уже
> сказал, не получилось. Но почему тогда получается тем же
> телнетом из той же консоли законнектиться на 25-ый порт
> (т.е. безо всяких там проксей)?
То есть, к примеру, в домашней сети существует локальный комп, которому назначен этот адрес. И ты ломишься на него, а не на нужный комп. Поэтому и порты тебе совсем другие показывает.
Или таки что-то с настройками прокси или маршрутизатора и он как-то не тот комп подсовывает вместо нужного (не туда маршрутизирует). Хотя, я не представляю как это может быть...
Еще вариант: тот комп с ssh как-то определяет, что ты через прокси и переадресовывает все твои запросы на какой-то другой комп. Но, это еще более экзотический вариант.
Ну, или че-то с ДНС, если ты по имени, а не по IP обращаешься.
Короче, ИМХО, ты видишь другой комп вместо нужного по этому адресу.
|
| | | | | |
Нет, исключено. В домашней сети только локальные адреса... 24.12.03 12:53
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> То есть, к примеру, в домашней сети существует локальный
> комп, которому назначен этот адрес. И ты ломишься на него,
> а не на нужный комп. Поэтому и порты тебе совсем другие
> показывает.
Нет, исключено. В домашней сети только локальные адреса (192.168.х.х, несколько сегментов), а у нужного мне компа внешний инетовский адрес.
> Или таки что-то с настройками прокси или маршрутизатора и
> он как-то не тот комп подсовывает вместо нужного (не туда
> маршрутизирует). Хотя, я не представляю как это может
> быть...
Может и так ;) Только я тоже не представляю как это возможно.
> Еще вариант: тот комп с ssh как-то определяет, что ты через
> прокси и переадресовывает все твои запросы на какой-то
> другой комп. Но, это еще более экзотический вариант.
Нет, ничего экзотического в настройках того компа с ssh нету - это точно.
> Ну, или че-то с ДНС, если ты по имени, а не по IP
> обращаешься.
Обращался и по имени и по IP - одна фигня. (резолвит IP по имени правильно)
> Короче, ИМХО, ты видишь другой комп вместо нужного по этому
> адресу.
Вобщем, из всего вышесказанного - вижу тот комп, что нужно.
|
|
Что за прокси? 24.12.03 01:32
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
Я так понял что у тебя дома технологический адрес без ната? Возможно прокся сконфигурена на доступ только к определенным портам.
|
| |
Squid/2.4.stable6 24.12.03 01:41
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> Я так понял что у тебя дома технологический адрес без ната?
дома у меня обычный локальный адрес (192.168.a.b). Через маршрутизатор своего сегмента я коннектюсь к проксе (у неё тоже внутренний интерфейс имеет локальный адрес, только в другом сегменте).
> Возможно прокся сконфигурена на доступ только к
> определенным портам.
Странно как-то это... Да и не должно быть такого. Раньше (более полугода назад) нормально было. А вот сейчас сунулся и фиг там.
|
| | |
попробуй мимо прокси 24.12.03 09:42
Автор: RazDolBai Статус: Member
|
зайти на какой-нить сайт тем же осликом. если не получится-значит всё прикрыто и разрешено ходить только через прокси (хороший подход, кстати ;0))
> > Возможно прокся сконфигурена на доступ только к
> > определенным портам.
> Странно как-то это... Да и не должно быть такого. Раньше
> (более полугода назад) нормально было. А вот сейчас сунулся
> и фиг там.
|
| | | |
мимо прокси не пускает. 24.12.03 13:07
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
Кстати, ИМХО, по этому результату сканирования портов видно на какие порты пускает без прокси:
Port State Service
23/tcp closed telnet
25/tcp open smtp
119/tcp closed nntp
143/tcp closed imap2
Т.е. на 23, 25, 119 и 143. 22-го там нету =(.
|
| | | | |
ну значить топтай админа ))) 24.12.03 13:38
Автор: RazDolBai Статус: Member
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
