Вобщем ситуация такая: где-то в инете есть комп (пусть его IP - 1.2.3.4). На этом компе подняты демон ssh, http, smtp, ftp (но три последних не столь важны). Находясь где-то удалённо, я пытаюсь законнектиться на ssh. И тут происходят непонятные мне вещи.
Если я уоннектюсь со своей работы (схема):
я -> НАТ -> инет -> нужный мне комп с ssh (IP 1.2.3.4)
то коннект проходит нормально (с этим всё понятно).
Но если я сижу дома за проксёй:
я -> маршрутизатор -> прокся -> инет -> нужный мне ssh (IP 1.2.3.4)
то соединения не происходит. Вот что выдаётся:
[fly4life@LapTop fly4life]$ ssh -l root 1.2.3.4
ssh: connect to host 1.2.3.4 port 22: Connection timed out
Посканировал порты на машинке с ssh и вот что выдало:
[fly4life@LapTop fly4life]$ nmap 1.2.3.4 -v -P0
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
No tcp,udp, or ICMP scantype specified, assuming vanilla tcp connect() scan. бла бла бла).
Host (1.2.3.4) appears to be up ... good.
Initiating Connect() Scan against (1.2.3.4)
Adding open port 25/tcp
The Connect() Scan took 435 seconds to scan 1601 ports.
Interesting ports on (1.2.3.4):
(The 1597 ports scanned but not shown below are in state: filtered)
Port State Service
23/tcp closed telnet
25/tcp open smtp
119/tcp closed nntp
143/tcp closed imap2
Nmap run completed -- 1 IP address (1 host up) scanned in 435 seconds
---
Хотя должно быть вот как:
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open httpd
---
Причём, в первом случае (сканирование через проксю) скан не идёт без опции -P0 (пишет: Note: Host seems down. If it is really up, but blocking our ping probes, try -P0)
Вобщем, почему так реагирует прокся (я думаю, что это именно она)? И как мне всё-таки прощемиться на ssh из дома?
П.С. надеюсь, понятно написал. Если что не понятно, то спрашивайте, объясню.
Ты так написал странно. С работы у тебя НАТ, а из дома - прокся. Прокся-то тоже ведь НАТ делает?
Видимо, действительно просто разрешён НАТ только на определённые порты. Проверка - заSSHться куда-нибудь ещё.
> Ты так написал странно. С работы у тебя НАТ, а из дома - > прокся. Прокся-то тоже ведь НАТ делает?
Сорри, что не уточнил. Здесь имелось ввиду, что на работе НАТ на основе iptables, а дома прокся - squid. Т.е. смысл, впринципе, один, но настройки разные.
> Видимо, действительно просто разрешён НАТ только на > определённые порты. Проверка - заSSHться куда-нибудь ещё.
Попробовал, тоже тайм аут соединения. Такого быть не должно! Значит это накосячил местный админ и стучать по репе ему надо? Блин...
а вот и ни фига24.12.03 11:38 Автор: LLL <Алексей> Статус: Member
> > Ты так написал странно. С работы у тебя НАТ, а из дома > - > > прокся. Прокся-то тоже ведь НАТ делает?
Прокся никаких натов не делает, она сама тянет данные с инета и отдает их клиенту.
> Сорри, что не уточнил. Здесь имелось ввиду, что на работе > НАТ на основе iptables, а дома прокся - squid. Т.е. смысл, > впринципе, один, но настройки разные.
Смысл ничего общего не имеет (пояснение чуть выше).
squid не умеет проксить ssh, но если допускается метод CONNECT на ssh-порты, то можно всякими прогами типа http-тунелей прокинуть ssh-сессию до сервера.
Вот и ответ на мой вопрос =)24.12.03 13:10 Автор: fly4life <Александр Кузнецов> Статус: Elderman
Там выше вцепочке ведь ты указал маршрутизатор, и прокся здесь ни причем, скорее всего все дело в настройках маршрутизатора, может там какойнит файервол стоит, который твои пакеты и режет. Была похожая ситуация, когда знакомого попросил, просканить мой сервер. Результат поразил мои ожидания. Сканирование показало открытые порты которые у меня точно закрыти, и не показало портов который точно открыты, все дело было в маршрутизаторе за которым он сидел, вернее в настройках файервола.
Видимо да, к админу. Перед стучанием предлагаю просто спросить.24.12.03 02:13 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Только что обратил внимание. На удалённом компе с ssh, ведь, ещё и поднят ФТП сервер. Но сканирование портов не показало, что 21-ый порт открыт. Попытался телнетом законнектиться на 21-ый порт и... фиг там! Тайм аут соединения. НО! броузером,ведь, зайти получилось (а броузер настроен на работу через прокси сервер!). Значит вывод: нужно как-то настроить переменные среды (или что там ещё), чтобы можно было из консоли заходить на ftp и ssh.
Вопрос: Как?
П.С. клиентсяка ОС - Linux
П.П.С. телнетом из консоли попасть на фтп, как я уже сказал, не получилось. Но почему тогда получается тем же телнетом из той же консоли законнектиться на 25-ый порт (т.е. безо всяких там проксей)?
видимо nat все же есть, но пропускает только почту24.12.03 11:44 Автор: LLL <Алексей> Статус: Member
> П.П.С. телнетом из консоли попасть на фтп, как я уже > сказал, не получилось. Но почему тогда получается тем же > телнетом из той же консоли законнектиться на 25-ый порт > (т.е. безо всяких там проксей)?
... либо whitetrue прав насчет другого компа, на который мы почему-то попадаем вместо сервера.
Так ты внеси ясность24.12.03 11:40 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> Только что обратил внимание. На удалённом компе с ssh, > ведь, ещё и поднят ФТП сервер. Но сканирование портов не > показало, что 21-ый порт открыт. Попытался телнетом > законнектиться на 21-ый порт и... фиг там! Тайм аут > соединения. НО! броузером,ведь, зайти получилось (а броузер > настроен на работу через прокси сервер!). Значит вывод: > нужно как-то настроить переменные среды (или что там ещё), > чтобы можно было из консоли заходить на ftp и ssh. > Вопрос: Как? > > П.С. клиентсяка ОС - Linux > П.П.С. телнетом из консоли попасть на фтп, как я уже > сказал, не получилось. Но почему тогда получается тем же > телнетом из той же консоли законнектиться на 25-ый порт > (т.е. безо всяких там проксей)?
То есть, к примеру, в домашней сети существует локальный комп, которому назначен этот адрес. И ты ломишься на него, а не на нужный комп. Поэтому и порты тебе совсем другие показывает.
Или таки что-то с настройками прокси или маршрутизатора и он как-то не тот комп подсовывает вместо нужного (не туда маршрутизирует). Хотя, я не представляю как это может быть...
Еще вариант: тот комп с ssh как-то определяет, что ты через прокси и переадресовывает все твои запросы на какой-то другой комп. Но, это еще более экзотический вариант.
Ну, или че-то с ДНС, если ты по имени, а не по IP обращаешься.
Короче, ИМХО, ты видишь другой комп вместо нужного по этому адресу.
Нет, исключено. В домашней сети только локальные адреса...24.12.03 12:53 Автор: fly4life <Александр Кузнецов> Статус: Elderman
> То есть, к примеру, в домашней сети существует локальный > комп, которому назначен этот адрес. И ты ломишься на него, > а не на нужный комп. Поэтому и порты тебе совсем другие > показывает.
Нет, исключено. В домашней сети только локальные адреса (192.168.х.х, несколько сегментов), а у нужного мне компа внешний инетовский адрес.
> Или таки что-то с настройками прокси или маршрутизатора и > он как-то не тот комп подсовывает вместо нужного (не туда > маршрутизирует). Хотя, я не представляю как это может > быть...
Может и так ;) Только я тоже не представляю как это возможно.
> Еще вариант: тот комп с ssh как-то определяет, что ты через > прокси и переадресовывает все твои запросы на какой-то > другой комп. Но, это еще более экзотический вариант.
Нет, ничего экзотического в настройках того компа с ssh нету - это точно.
> Ну, или че-то с ДНС, если ты по имени, а не по IP > обращаешься.
Обращался и по имени и по IP - одна фигня. (резолвит IP по имени правильно)
> Короче, ИМХО, ты видишь другой комп вместо нужного по этому > адресу.
Вобщем, из всего вышесказанного - вижу тот комп, что нужно.
Что за прокси?24.12.03 01:32 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> Я так понял что у тебя дома технологический адрес без ната?
дома у меня обычный локальный адрес (192.168.a.b). Через маршрутизатор своего сегмента я коннектюсь к проксе (у неё тоже внутренний интерфейс имеет локальный адрес, только в другом сегменте).
> Возможно прокся сконфигурена на доступ только к > определенным портам.
Странно как-то это... Да и не должно быть такого. Раньше (более полугода назад) нормально было. А вот сейчас сунулся и фиг там.
попробуй мимо прокси24.12.03 09:42 Автор: RazDolBai Статус: Member
зайти на какой-нить сайт тем же осликом. если не получится-значит всё прикрыто и разрешено ходить только через прокси (хороший подход, кстати ;0))
> > Возможно прокся сконфигурена на доступ только к > > определенным портам. > Странно как-то это... Да и не должно быть такого. Раньше > (более полугода назад) нормально было. А вот сейчас сунулся > и фиг там.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
