Přihlášení | Registrace

napište » Zprávičky

ROCm 7.0.0

dnes 16:22 | Nová verze

Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

Ladislav Hagara | Komentářů: 0

systemd 258

dnes 15:22 | Nová verze

Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

Ladislav Hagara | Komentářů: 1

Java 25 / JDK 25

dnes 15:11 | Nová verze

Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

Ladislav Hagara | Komentářů: 0

Věra Pohlová před 26 lety: „Já bych všechny ty internety a počítače zakázala“

dnes 14:44 | Humor

Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

Ladislav Hagara | Komentářů: 1

Výroční zpráva Blender Foundation za rok 2024

dnes 11:33 | Zajímavý článek

Byla publikována Výroční zpráva Blender Foundation za rok 2024 (pdf).

Ladislav Hagara | Komentářů: 0

Firefox 143.0

včera 21:44 | Nová verze

Byl vydán Mozilla Firefox 143.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Nově se Firefox při ukončování anonymního režimu zeptá, zda chcete smazat stažené soubory. Dialog pro povolení přístupu ke kameře zobrazuje náhled. Obzvláště užitečné při přepínání mezi více kamerami. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 143 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Fedora Linux 43 Beta

včera 17:22 | Nová verze

Byla vydána betaverze Fedora Linuxu 43 (ChangeSet), tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 21. října.

Ladislav Hagara | Komentářů: 0

Ghostty 1.2

včera 12:22 | Nová verze

Multiplatformní emulátor terminálu Ghostty byl vydán ve verzi 1.2 (𝕏, Mastodon). Přehled novinek, vylepšení a nových efektů v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Godot 4.5

včera 00:11 | Nová verze

Byla vydána nová verze 4.5 (𝕏, Bluesky, Mastodon) multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

asciinema CLI 3.0

15.9. 21:33 | Nová verze

Byla vydána verze 3.0 (Mastodon) nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). S novou verzí formátu záznamu asciicast v3, podporou live streamingu a především kompletním přepisem z Pythonu do Rustu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (44%)

Gitlab (78%)

Atlassian (0%)

Bitbucket (0%)

Gitea (11%)

Mercurial (11%)

jen git (22%)

jen svn (0%)

Jiné (uvedu v diskusi) (22%)

Celkem 9 hlasů

Komentářů: 1, poslední dnes 13:49

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables povoleni SSH

Štítky: DEB, dpkg, firewally, chyba, input, iptables, LAN, NAT, output, router, sítě, SSH, TCP

Dotaz: iptables povoleni SSH

6.7.2011 13:39 mapim | skóre: 18
iptables povoleni SSH

Přečteno: 569×

Odpovědět | Admin

Ahoj, nějak jsem se ztratil v iptables. Má dvě síťovky, na jedné jsem připojen k internetu, druhou pouštím inet do LAN.

root@lin:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            LOG level warning 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh state ESTABLISHED 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            LOG level warning 
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            LOG level warning 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh state ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW,ESTABLISHED

Snažím se povolit SSH spojení odkudkoliv z inet na deb router, leč marně. Nevím, jestli není ještě náhodou chyba u poskytovatele, který mi povoloval SSH NAT.

Můžete mě prosím nějak nasměrovat? Moc díky

Řešení dotazu:

Komentář #9 (mapim, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

6.7.2011 14:41 Robert Kupka | skóre: 15
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Kedze mate vo vsetkych chainoch policy ACCEPT, je uplne jedno ake su dalsie pravidla, mate povolene vsetko. Chyba bude teda niekde inde. Pocuva vam SSH demon na vsetkych interfacoch ?

6.7.2011 15:42 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Díky za info. Nastavil jsem všechno na accept abych si byl jistý... sshd naslouchá na všech int...

root@lin:~# netstat -anp | grep sshd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1196/sshd       
tcp6       0      0 :::22                   :::*                    LISTEN      1196/sshd

6.7.2011 14:46 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Samozřejmě lze používat SSH přes nasměrovaný port (tam bude nejspíš chyba, použij tcpdump k ověření, jestli ti ty pakety vůbec přicházejí). Ale mnohem lepší je říct si o alespoň jednu veřejnou adresu nebo získat třeba veřejné IPv6 adresy nativně, nebo v nejhorším přes tunel a připojovat se pomocí těch.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

6.7.2011 21:51 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Děkuji za radu. Zapnul jsem si tcpdump, ale těžko se v tom zorientovat. Jsem přihlášený přes SSH na server a z něj se zkouším připojit zpět k sobě.

Zde příklad dumpu:

root@lin:~# tcpdump -nnvvi eth0 src 93.190.52.39 
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
21:43:11.620256 IP (tos 0x4, ttl 55, id 45196, offset 0, flags [DF], proto TCP (6), length 100)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0xba45 (correct), seq 2520793180:2520793228, ack 124454243, win 8326, options [nop,nop,TS val 1550188030 ecr 9027017], length 48
21:43:11.624232 IP (tos 0x4, ttl 55, id 45197, offset 0, flags [DF], proto TCP (6), length 100)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0xa99d (correct), seq 48:96, ack 1, win 8326, options [nop,nop,TS val 1550188030 ecr 9027017], length 48
21:43:11.626120 IP (tos 0x4, ttl 55, id 45198, offset 0, flags [DF], proto TCP (6), length 148)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0xd321 (correct), seq 96:192, ack 1, win 8326, options [nop,nop,TS val 1550188030 ecr 9027017], length 96
21:43:12.611174 IP (tos 0x4, ttl 55, id 45199, offset 0, flags [DF], proto TCP (6), length 116)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0x3e90 (correct), seq 192:256, ack 49, win 8326, options [nop,nop,TS val 1550188055 ecr 9027116], length 64
21:43:12.889244 IP (tos 0x4, ttl 55, id 45200, offset 0, flags [DF], proto TCP (6), length 100)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0xd05e (correct), seq 256:304, ack 97, win 8326, options [nop,nop,TS val 1550188062 ecr 9027144], length 48

nebo

root@lin:~# tcpdump -nnvvi eth0 port 22
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
21:48:13.147686 IP (tos 0x10, ttl 64, id 50506, offset 0, flags [DF], proto TCP (6), length 100)
    192.168.99.254.54039 > 93.190.52.39.22: Flags [P.], cksum 0xb6e2 (incorrect -> 0xd7b6), seq 124454915:124454963, ack 2520794956, win 323, options [nop,nop,TS val 9057171 ecr 1550195160], length 48
21:48:13.170806 IP (tos 0x4, ttl 55, id 45240, offset 0, flags [DF], proto TCP (6), length 116)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0x47e0 (correct), seq 1:65, ack 48, win 8326, options [nop,nop,TS val 1550195602 ecr 9057171], length 64
21:48:13.170872 IP (tos 0x10, ttl 64, id 50507, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.99.254.54039 > 93.190.52.39.22: Flags [.], cksum 0xb6b2 (incorrect -> 0x523e), seq 48, ack 65, win 323, options [nop,nop,TS val 9057173 ecr 1550195602], length 0
21:48:13.927686 IP (tos 0x10, ttl 64, id 50508, offset 0, flags [DF], proto TCP (6), length 100)
    192.168.99.254.54039 > 93.190.52.39.22: Flags [P.], cksum 0xb6e2 (incorrect -> 0x7e2e), seq 48:96, ack 65, win 323, options [nop,nop,TS val 9057249 ecr 1550195602], length 48
21:48:13.941817 IP (tos 0x4, ttl 55, id 45241, offset 0, flags [DF], proto TCP (6), length 100)
    93.190.52.39.22 > 192.168.99.254.54039: Flags [P.], cksum 0xb42e (correct), seq 65:113, ack 96, win 8326, options [nop,nop,TS val 1550195621 ecr 9057249], length 48
21:48:13.941864 IP (tos 0x10, ttl 64, id 50509, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.99.254.54039 > 93.190.52.39.22: Flags [.], cksum 0xb6b2 (incorrect -> 0x517e), seq 96, ack 113, win 323, options [nop,nop,TS val 9057250 ecr 1550195621], length 0

6.7.2011 23:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: iptables povoleni SSH

93.190.52.39.22 > 192.168.99.254.54039

Zdrojový port 22 znamená, že data odchází ze SSH serveru. To znamená, že na SSH server pravděpodobně přišlo něco, na co odpovídá (nahraď src za host a uvidíš oba směry... ale jak vidím, tak už jsi zkusil obdobu, port 22 ti taky dává oba směry).

SSH server tedy data přijímá i odesílá.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

6.7.2011 23:52 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Občas je přehlednější použití třeba programu iptraf, ukazuje průběžný seznam spojení pro jednotlivý interfejs.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

7.7.2011 00:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Může být. I když v tomhle případě asi ne, dotazujícímu šlo o to, jestli přístup vůbec funguje a na to mi přijde nejlepší se dívat přímo na pakety.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Řešení 1× (mapim (tazatel))

7.7.2011 12:43 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Ano! Už to šlape! Poskytovatel sice NAT nastavil ale jiné bráně :)

Děkuji za pomoc.

7.7.2011 12:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: iptables povoleni SSH

A umíš pár věcí navíc :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

7.7.2011 13:46 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

tak čoveče, po 11 letech v IT, jsem zcela jistě schopen říct, že mi bylo objeveno něco nového, ale že bych to uměl? To budu muset ještě počkat :)))

7.7.2011 14:00 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: iptables povoleni SSH

tak čoveče, po 11 letech v IT, jsem zcela jistě schopen říct, že mi bylo objeveno něco nového, ale že bych to uměl? To budu muset ještě počkat :)))

Ten smajlík tam byl pro označení nadsázky, ne jako vítězný pokřik.

A jinak... 11 let v IT nic moc neznamená. Teď jsem koukal, co umí můj bratránek, který ještě před rokem byl z hlediska IT úplný ucho...

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

7.7.2011 14:15 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

A jinak... 11 let v IT nic moc neznamená. Teď jsem koukal, co umí můj bratránek, který ještě před rokem byl z hlediska IT úplný ucho...

Naprostá pravda!

Taky jsem došel k tomu, že to nic neznamená :) ani plná složka certifikátů, ani titul, ani praxe. Jen to co opravdu umíš a s čím se dkážeš vypořádat něco znamená.

7.7.2011 12:30 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Díky! Pěkná utilita, dobré vědět :)

7.7.2011 13:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Další je iftop (obecně je těch *topů víc, atop, htop, powertop, latencytop, iotop, dnstop, ale nejsou v každém repozitáři).

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

7.7.2011 12:47 tomk
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Jestli to spravne chapu (vzhledem k odkazu na ISP, ktery "povoloval SSH NAT"), tak adresa naseho serveru je 192.168.99.254, tady bezi sshd a 93.190.52.39 je pak stroj v Internetu, na ktery jsme momentalne prihlaseni a zkousime _z_nej_ delat ssh na nas. Zajimal by nas tedy napr. SYN packet

93.190.52.39.1025 > 192.168.99.254.22

, ktery ale ve vypisu nevidim. To co vidime je jen stavajici ssh spojeni, ktere je jako na potvoru na stejnou IP adresu jako ta, ze ktere neco ocekavame.

Nebo se pletu?

Tomas

7.7.2011 12:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: iptables povoleni SSH

Máš částečně pravdu. Ale kde by se tam vzalo to napotvoru stejné spojení, když se celou dobu bavíme o tom, že takové spojení nelze navázat?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

7.7.2011 13:35 mapim | skóre: 18
Rozbalit Rozbalit vše Re: iptables povoleni SSH

moje chybka, měl formulaci podat srozumitelněji :)

adresa serveru, na který se mělo dát dostat: 192.168.99.254
adresa serveru, ze kterého se připojuji: 93.190.52.39 (na kterém jsem zárověn připojen)

To spojení navázat nešlo. Myslel jsem si, že je to mým iptables, tak jsem v iptables vše povolil. Stále to však nešlo. Nakonec se ukázalo, že poskytovatel sice NAT nastavil, ale zapoměl "krabičku", kerou tu u sebe mám, na tu správnou gateway (na které NAT je) nasměrovat.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje