J'ai configur=E9 un petit serveur web sous FreeBSD 4.7=20
Le firewall n'est pas encore charg=E9 (mais le sera ensuite)
La machine est derri=E8re un routeur ADSL
Le routeur renvoi bien le nom de machine vers www.dyndns.org =E0 chaque=20
changement d'adresse ip du cot=E9 WAN.
La translation est bien faite pour le serveur web sur le port 80, car=20
je me connecte bien depuis l'exterieur.
J'ai translat=E9 aussi le port 22 pour manager la machine depuis=20
l'exterieur en SSH. Cependant la connexion m'est syst=E9matiquement=20
refus=E9e depuis l'exterieur, alors que =E7a marche tr=E8s bien depuis le=
=20
r=E9seau interne.
En faisant le test 'shield up' de www.grc.com, je constate que mon port=20
22 est bien 'open'. Ce qui veut dire que la translation du port ssh est=20
ok.
En lisant les pages de man de ssh et sshd, je constate qu'il y un grand=20
nombre de parametres possibles dans les fichiers /etc/ssh/
My "English spoken" =E9tant assez pauvre, si quelqu'un pouvait m'indiquer=
=20
quel parametre changer sans trop "ouvrir" mon syst=E8me, je serai bien=20
content.
PS. Le site distant duquel je me connecterai =E0 une adresse IP fixe, ce=20
qui peut aussi me permetre d'acroitre un peu la s=E9curit=E9.
PS/2 En lisant le guide "La S=E9curit=E9 et FreeBSD - Mode d'Emploi"
http://www.freebsd-fr.org/doc/fr/books/security/x589.html
Le lien en bas de page n'est plus valide (depuis plusieurs jours)
http://www.metronet.com/~pgilley/freebsd/ipfw
Peut-on trouver ce document ailleurs ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas Le Scouarnec
Le firewall n'est pas encore chargé (mais le sera ensuite) La machine est derrière un routeur ADSL J'ai translaté aussi le port 22 pour manager la machine depuis l'exterieur en SSH. Cependant la connexion m'est systématiquement refusée depuis l'exterieur, alors que ça marche très bien depuis le réseau interne.
Je fais ca, mon sshd n'a aucune configuration particulière. Par contre, au niveau de la translation, j'avais essayé de la faire avec natd et ipfw , ils ne devaient pas la faire suffisament bien, puisqu'elle semblait correcte d'après les logs, et pourtant je ne pouvais me connecter.
Le firewall chez moi tourne sous Pf (sous FreeBSD), ca me donne ca:
# On redirige le traffic vers le http vers ssh s'il a une origine particuliere. rdr on $ext_if proto tcp from $bs410 to $ext_if port http -> 127.0.0.1 port ssh
#Et après, j'accepte un truc bizarre (packet arrivant sur l'interface #externe avec une IP 127.0.0.1), je n'ai pas tout a fais compris, si #c'est indispensable, mais je crois qu'il me le fallait. pass in on $ext_if inet proto tcp from any to 127.0.0.1 port ssh keep state
En faisant le test 'shield up' de www.grc.com, je constate que mon port 22 est bien 'open'. Ce qui veut dire que la translation du port ssh est ok.
Est-ce que si tu fais un telnet tonip ssh
Tu as quelque chose du genre: [ ~]% telnet lea ssh Trying 10.131.5.3... Connected to lea.ens.insa-rennes.fr. Escape character is '^]'. SSH-1.99-OpenSSH_3.6.1p1 FreeBSD-20030423
(Oui, je sais, OpenSSH il faudrait le mettre a jour, mais j'ai pas le temps avant mes partiels :-) )
En lisant les pages de man de ssh et sshd, je constate qu'il y un grand nombre de parametres possibles dans les fichiers /etc/ssh/
Je n'ai rien remarqué de spécial, le seul truc "drole", marqué nulle part, c'est que pour accepter des connexions de clients en utilisant un compte NIS (YellowPages), il faut absolument autoriser root a se connecter:
AllowUsers *
PS. Le site distant duquel je me connecterai à une adresse IP fixe, ce qui peut aussi me permetre d'acroitre un peu la sécurité.
(C'est ce que je fais avec mes regles plus haut), quand je me connecte depuis mon ordi, ($bs410 corespond a mon IP)
-- Nicolas Le Scouarnec http://nlsn.free.fr (Slrnfr, Docs Linux/BSD, La grippe, ... )
Le firewall n'est pas encore chargé (mais le sera ensuite)
La machine est derrière un routeur ADSL
J'ai translaté aussi le port 22 pour manager la machine depuis
l'exterieur en SSH. Cependant la connexion m'est systématiquement
refusée depuis l'exterieur, alors que ça marche très bien depuis le
réseau interne.
Je fais ca, mon sshd n'a aucune configuration particulière. Par contre,
au niveau de la translation, j'avais essayé de la faire avec natd et
ipfw , ils ne devaient pas la faire suffisament bien, puisqu'elle
semblait correcte d'après les logs, et pourtant je ne pouvais me
connecter.
Le firewall chez moi tourne sous Pf (sous FreeBSD), ca me donne ca:
# On redirige le traffic vers le http vers ssh s'il a une origine particuliere.
rdr on $ext_if proto tcp from $bs410 to $ext_if port http -> 127.0.0.1 port ssh
#Et après, j'accepte un truc bizarre (packet arrivant sur l'interface
#externe avec une IP 127.0.0.1), je n'ai pas tout a fais compris, si
#c'est indispensable, mais je crois qu'il me le fallait.
pass in on $ext_if inet proto tcp from any to 127.0.0.1 port ssh
keep state
En faisant le test 'shield up' de www.grc.com, je constate que mon port
22 est bien 'open'. Ce qui veut dire que la translation du port ssh est
ok.
Est-ce que si tu fais un
telnet tonip ssh
Tu as quelque chose du genre:
[nlsn@shiva ~]% telnet lea ssh
Trying 10.131.5.3...
Connected to lea.ens.insa-rennes.fr.
Escape character is '^]'.
SSH-1.99-OpenSSH_3.6.1p1 FreeBSD-20030423
(Oui, je sais, OpenSSH il faudrait le mettre a jour, mais j'ai pas le
temps avant mes partiels :-) )
En lisant les pages de man de ssh et sshd, je constate qu'il y un grand
nombre de parametres possibles dans les fichiers /etc/ssh/
Je n'ai rien remarqué de spécial, le seul truc "drole", marqué nulle
part, c'est que pour accepter des connexions de clients en utilisant un
compte NIS (YellowPages), il faut absolument autoriser root a se
connecter:
AllowUsers *
PS. Le site distant duquel je me connecterai à une adresse IP fixe, ce
qui peut aussi me permetre d'acroitre un peu la sécurité.
(C'est ce que je fais avec mes regles plus haut), quand je me connecte
depuis mon ordi, ($bs410 corespond a mon IP)
--
Nicolas Le Scouarnec
http://nlsn.free.fr (Slrnfr, Docs Linux/BSD, La grippe, ... )
Le firewall n'est pas encore chargé (mais le sera ensuite) La machine est derrière un routeur ADSL J'ai translaté aussi le port 22 pour manager la machine depuis l'exterieur en SSH. Cependant la connexion m'est systématiquement refusée depuis l'exterieur, alors que ça marche très bien depuis le réseau interne.
Je fais ca, mon sshd n'a aucune configuration particulière. Par contre, au niveau de la translation, j'avais essayé de la faire avec natd et ipfw , ils ne devaient pas la faire suffisament bien, puisqu'elle semblait correcte d'après les logs, et pourtant je ne pouvais me connecter.
Le firewall chez moi tourne sous Pf (sous FreeBSD), ca me donne ca:
# On redirige le traffic vers le http vers ssh s'il a une origine particuliere. rdr on $ext_if proto tcp from $bs410 to $ext_if port http -> 127.0.0.1 port ssh
#Et après, j'accepte un truc bizarre (packet arrivant sur l'interface #externe avec une IP 127.0.0.1), je n'ai pas tout a fais compris, si #c'est indispensable, mais je crois qu'il me le fallait. pass in on $ext_if inet proto tcp from any to 127.0.0.1 port ssh keep state
En faisant le test 'shield up' de www.grc.com, je constate que mon port 22 est bien 'open'. Ce qui veut dire que la translation du port ssh est ok.
Est-ce que si tu fais un telnet tonip ssh
Tu as quelque chose du genre: [ ~]% telnet lea ssh Trying 10.131.5.3... Connected to lea.ens.insa-rennes.fr. Escape character is '^]'. SSH-1.99-OpenSSH_3.6.1p1 FreeBSD-20030423
(Oui, je sais, OpenSSH il faudrait le mettre a jour, mais j'ai pas le temps avant mes partiels :-) )
En lisant les pages de man de ssh et sshd, je constate qu'il y un grand nombre de parametres possibles dans les fichiers /etc/ssh/
Je n'ai rien remarqué de spécial, le seul truc "drole", marqué nulle part, c'est que pour accepter des connexions de clients en utilisant un compte NIS (YellowPages), il faut absolument autoriser root a se connecter:
AllowUsers *
PS. Le site distant duquel je me connecterai à une adresse IP fixe, ce qui peut aussi me permetre d'acroitre un peu la sécurité.
(C'est ce que je fais avec mes regles plus haut), quand je me connecte depuis mon ordi, ($bs410 corespond a mon IP)
-- Nicolas Le Scouarnec http://nlsn.free.fr (Slrnfr, Docs Linux/BSD, La grippe, ... )
