LINUX.ORG.RU
ФорумAdmin

Доступ по ssh

 


0

1

Добрый день, centos 8, установил роль ssh. Открыл порт стандартный, на маршрутизаторе пробросил порт до локального адреса. Centos за natом. В локальной сети могу подключится по ssh, а через внешний ip нет. Может еще чего надо было настроить? Гугление не помогло…



Последнее исправление: Novokain (всего исправлений: 1)

Запусти ssh-клиент с -vvv.
ssh -vvv user@ip
В каком месте затык?

imul ★★★★★
()

И на сервере сделай

ss -lntp
skyman ★★★
()
Ответ на: комментарий от zolden

[root@localhost ~]# lsof -Pni :22 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME sshd 6468 root 4u IPv4 144712 0t0 TCP *:22 (LISTEN) sshd 6468 root 6u IPv6 144714 0t0 TCP *:22 (LISTEN) sshd 6663 root 5u IPv4 147794 0t0 TCP 192.168.88.70:22->192.168.88.78:50141 (ESTABLISHED) sshd 6687 root 5u IPv4 147794 0t0 TCP 192.168.88.70:22->192.168.88.78:50141 (ESTABLISHED)

[root@localhost ~]# ip -br a lo UNKNOWN 127.0.0.1/8 ::1/128 enp27s0 UP 192.168.88.70/24 fe80::2d8:61ff:fe30:ca49/64 virbr0 DOWN 192.168.122.1/24 virbr0-nic DOWN

[root@localhost ~]# ip r default via 192.168.88.1 dev enp27s0 proto static metric 100 192.168.88.0/24 dev enp27s0 proto kernel scope link src 192.168.88.70 metric 100 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown

[root@localhost ~]# iptables-save

Generated by xtables-save v1.8.2 on Sun Feb 9 17:46:24 2020

*filter :INPUT ACCEPT [210586:331733902] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [101170:5343191] -A INPUT -p tcp -m tcp –dport 25333 -m state –state NEW -j ACCEPT -A INPUT -p tcp -m tcp –dport 2202 -m state –state NEW -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -j ACCEPT -A INPUT -i virbr0 -p udp -m udp –dport 53 -j ACCEPT -A INPUT -i virbr0 -p tcp -m tcp –dport 53 -j ACCEPT -A INPUT -i virbr0 -p udp -m udp –dport 67 -j ACCEPT -A INPUT -i virbr0 -p tcp -m tcp –dport 67 -j ACCEPT -A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT -A FORWARD -i virbr0 -o virbr0 -j ACCEPT -A FORWARD -o virbr0 -j REJECT –reject-with icmp-port-unreachable -A FORWARD -i virbr0 -j REJECT –reject-with icmp-port-unreachable -A OUTPUT -o virbr0 -p udp -m udp –dport 68 -j ACCEPT COMMIT

Completed on Sun Feb 9 17:46:24 2020

Generated by xtables-save v1.8.2 on Sun Feb 9 17:46:24 2020

*security :INPUT ACCEPT [210590:331734110] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [101170:5343191] COMMIT

Completed on Sun Feb 9 17:46:24 2020

Generated by xtables-save v1.8.2 on Sun Feb 9 17:46:24 2020

*raw :PREROUTING ACCEPT [210616:331735414] :OUTPUT ACCEPT [101170:5343191] COMMIT

Completed on Sun Feb 9 17:46:24 2020

Generated by xtables-save v1.8.2 on Sun Feb 9 17:46:24 2020

*mangle :PREROUTING ACCEPT [210616:331735414] :INPUT ACCEPT [210590:331734110] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [101170:5343191] :POSTROUTING ACCEPT [101170:5343191] -A POSTROUTING -o virbr0 -p udp -m udp –dport 68 -j CHECKSUM –checksum-fill COMMIT

Completed on Sun Feb 9 17:46:24 2020

Generated by xtables-save v1.8.2 on Sun Feb 9 17:46:24 2020

*nat :PREROUTING ACCEPT [538:49818] :INPUT ACCEPT [516:48714] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN -A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE –to-ports 1024-65535 -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE –to-ports 1024-65535 -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE COMMIT

Completed on Sun Feb 9 17:46:24 2020

Novokain
() автор топика
Ответ на: комментарий от zolden 
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    6468 root    4u  IPv4 144712      0t0  TCP *:22 (LISTEN)
sshd    6468 root    6u  IPv6 144714      0t0  TCP *:22 (LISTEN)
sshd    7782 root    5u  IPv4 152354      0t0  TCP 192.168.88.70:22->192.168.88.78:50191 (ESTABLISHED)
sshd    7807 root    5u  IPv4 152354      0t0  TCP 192.168.88.70:22->192.168.88.78:50191 (ESTABLISHED)
[root@localhost ~]# ip -br a
lo               UNKNOWN        127.0.0.1/8 ::1/128
enp27s0          UP             192.168.88.70/24 fe80::2d8:61ff:fe30:ca49/64
virbr0           DOWN           192.168.122.1/24
virbr0-nic       DOWN
[root@localhost ~]# ip r
default via 192.168.88.1 dev enp27s0 proto static metric 100
192.168.88.0/24 dev enp27s0 proto kernel scope link src 192.168.88.70 metric 100
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown
[root@localhost ~]# iptables-save
# Generated by xtables-save v1.8.2 on Sun Feb  9 17:55:43 2020
*filter
:INPUT ACCEPT [211182:331785825]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [101768:5435208]
-A INPUT -p tcp -m tcp --dport 25333 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2202 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
COMMIT
# Completed on Sun Feb  9 17:55:43 2020
# Generated by xtables-save v1.8.2 on Sun Feb  9 17:55:43 2020
*security
:INPUT ACCEPT [211187:331786085]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [101768:5435208]
COMMIT
# Completed on Sun Feb  9 17:55:43 2020
# Generated by xtables-save v1.8.2 on Sun Feb  9 17:55:43 2020
*raw
:PREROUTING ACCEPT [211215:331787489]
:OUTPUT ACCEPT [101768:5435208]
COMMIT
# Completed on Sun Feb  9 17:55:43 2020
# Generated by xtables-save v1.8.2 on Sun Feb  9 17:55:43 2020
*mangle
:PREROUTING ACCEPT [211215:331787489]
:INPUT ACCEPT [211187:331786085]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [101768:5435208]
:POSTROUTING ACCEPT [101768:5435208]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Sun Feb  9 17:55:43 2020
# Generated by xtables-save v1.8.2 on Sun Feb  9 17:55:43 2020
*nat
:PREROUTING ACCEPT [620:57215]
:INPUT ACCEPT [596:56011]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Feb  9 17:55:43 2020
Novokain
() автор топика

Смотрим на роутере долетают пакеты или нет.
Если не долетают то скорее всего fw провайдера блокирует. Вы на какой порт отправляете?
Если долетают, смотрим на вашем центос долетают после роутера до неё или нет. Если нет разбираемся с роутером.
Но в целом самое простое вам уже подсказали с первом посте. Начните с этого.
ЗЫ Что бы два раза не вставать, что есть «внешний ip»? А то бывает, что адреса типа 10.x.x.x и т.п. принимают за внешний адрес который должен быть доступен из инета.

anc ★★★★★
()

на маршрутизаторе пробросил порт до локального адреса.

Точно пробросили? Что-то у меня не получается в Вашей простыне iptables-save найти соответствующую строчку.

Serge10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin