LINUX.ORG.RU
ФорумAdmin

SSH: Broken pipe при DNAT


0

1

Есть проблема в быстром обрыве соединения по ssh при неактивности, если соединение было установлено на комп в локальной сети посредством DNAT. Если установить соединение на шлюз, а со шлюза на комп в локальной сети, то ети оба соединения могут сколь угодно долго висеть, но при пробросе портов отваливается через 2 минуты неактивности.

IP внешний, ip_forwarding естественно включен. Правило в iptables: 

iptables -tnat -A PREROUTING -d 11.22.33.205/32 -p tcp -m tcp --dport 4210 -j DNAT --to-destination 192.168.1.210:22

Что посмотреть, кого откопать?



Последнее исправление: abr_linux (всего исправлений: 1)

На машине, куда подключаюсь: 

# cat /etc/ssh/sshd_config | grep -vE '^#' 
 Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
 
KeyRegenerationInterval 3600
ServerKeyBits 768
 
SyslogFacility AUTH
LogLevel INFO
 
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
 
RSAAuthentication yes
PubkeyAuthentication yes
 
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
 
PermitEmptyPasswords no
 
ChallengeResponseAuthentication no
 
 
 
 
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
 
 
AcceptEnv LANG LC_*
 
Subsystem sftp /usr/lib/openssh/sftp-server
 
UsePAM yes

abr_linux
() автор топика
Ответ на: комментарий от sdio

но интереснее разобраться где задаётся время жизни сессии при нате

zolden ★★★★★
()

чисто для статистики - редирект через xinetd как себя ведёт?
образец настройки тут

zolden ★★★★★
()
Ответ на: комментарий от sdio

ServerAliveInterval 60
ServerAliveCountMax 99999

Теперь подключится не могу )) Хорошо, комп не нужен на выходных. В Пн продолжу пробовать настройки

abr_linux
() автор топика
Ответ на: комментарий от abr_linux

а чем локалка от интернетов по твоему отличается? тем что в ней какое-то волшебное оборудование используется, где MTU не используется?

zolden ★★★★★
()
Ответ на: комментарий от abr_linux

Скажем так, в обеих локалках (откуда и куда) MTU на интерфейсах LAN и Global WAN не должны отличаться. Если отличаются, то нужно делать iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

ktulhu666 ☆☆☆
()
Ответ на: комментарий от zolden

а чем локалка от интернетов по твоему отличается? тем что в ней какое-то волшебное оборудование используется, где MTU не используется?

У нас везде 1500 стоит, разве что свитч может каким-то образом отрубать. Но он-то вроде как не должен проверять значение.

Скажем так, в обеих локалках (откуда и куда) MTU на интерфейсах LAN и Global WAN не должны отличаться. Если отличаются, то нужно делать iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Есть такая строка в iptables, но MTU одинаковые

Завтра доберусь до компа, поекспериментирую с MTU. Хотя, почему-то мне кажется, всё-таки sshd виноват, но проверить надо всё.

abr_linux
() автор топика
Ответ на: комментарий от abr_linux

мне кажется, всё-таки sshd виноват

что значит кажется, тебе же уже 3 варианта решения предложили, включая самый правильный от true_admin

zolden ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin