Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Le protocole SSH est il allergique à une telle translation de port ?
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH
ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le
réseau interne)
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
Le protocole SSH est il allergique à une telle translation de port ?
Je ne crois pas, mais je n'ai jamais essayé.
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Question idiote: pourquoi ne pas mettre le NAT sur le port 22?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc <alain-news@montfranc.com>
wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le
serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
Le protocole SSH est il allergique à une telle translation de port ?
Je ne crois pas, mais je n'ai jamais essayé.
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH
ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le
réseau interne)
Question idiote: pourquoi ne pas mettre le NAT sur le port 22?
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
Le protocole SSH est il allergique à une telle translation de port ?
Je ne crois pas, mais je n'ai jamais essayé.
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Question idiote: pourquoi ne pas mettre le NAT sur le port 22?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Xes
Bonsoir
J'ai le pb suivant
Internet --- routeur ---- serveur SSH sur le port 22
Mon routeur fait une NAT classique mais en plus accepte des connexions sur le port 25 qu'il redirige sur le port 22 du serveur SSH :
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Répond quoi ?
Cependant une tentative de connexion ssh echoue...
Le protocole SSH est il allergique à une telle translation de port ?
Il n'y a pas de raison
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Oula :-D T'a essayé déjà de rediriger ce qui arrive sur le port 22 du routeur sur la bécane ou est ssh (en port 22 bien sur)?
Pourquoi faire une translation de port ?
Bonsoir
J'ai le pb suivant
Internet --- routeur ---- serveur SSH sur le port 22
Mon routeur fait une NAT classique mais en plus accepte des connexions
sur le port 25 qu'il redirige sur le port 22 du serveur SSH :
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Répond quoi ?
Cependant une tentative de connexion ssh echoue...
Le protocole SSH est il allergique à une telle translation de port ?
Il n'y a pas de raison
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH
ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le
réseau interne)
Oula :-D
T'a essayé déjà de rediriger ce qui arrive sur le port 22 du routeur sur la
bécane ou est ssh (en port 22 bien sur)?
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Répond quoi ?
Cependant une tentative de connexion ssh echoue...
Le protocole SSH est il allergique à une telle translation de port ?
Il n'y a pas de raison
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Oula :-D T'a essayé déjà de rediriger ce qui arrive sur le port 22 du routeur sur la bécane ou est ssh (en port 22 bien sur)?
Pourquoi faire une translation de port ?
Alain Montfranc
Jacques Caron wrote:
Salut,
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
debug1: Server will not fork when running in debugging mode. Connection from xxxxxx port 47000 debug1: Client protocol version 2.0; client software version OpenSSH_2.9p2 debug1: match: OpenSSH_2.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1* Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-1.99-OpenSSH_3.4p1 debug2: Network child is on pid 3712 debug3: privsep user:group 502:502 debug1: list_hostkey_types: ssh-rsa,ssh-dss debug1: SSH2_MSG_KEXINIT sent debug3: preauth child monitor started debug3: mm_request_receive entering Read from socket failed: Connection reset by peer debug1: Calling cleanup 0x8069bdc(0x0) debug1: Calling cleanup 0x8069bdc(0x0)
Le protocole SSH est il allergique à une telle translation de port ?
Je ne crois pas, mais je n'ai jamais essayé.
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Question idiote: pourquoi ne pas mettre le NAT sur le port 22?
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
Jacques.
Jacques Caron wrote:
Salut,
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc <alain-news@montfranc.com>
wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le
serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
debug1: Server will not fork when running in debugging mode.
Connection from xxxxxx port 47000
debug1: Client protocol version 2.0; client software version OpenSSH_2.9p2
debug1: match: OpenSSH_2.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-1.99-OpenSSH_3.4p1
debug2: Network child is on pid 3712
debug3: privsep user:group 502:502
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug3: preauth child monitor started
debug3: mm_request_receive entering
Read from socket failed: Connection reset by peer
debug1: Calling cleanup 0x8069bdc(0x0)
debug1: Calling cleanup 0x8069bdc(0x0)
Le protocole SSH est il allergique à une telle translation de port ?
Je ne crois pas, mais je n'ai jamais essayé.
Existe t'il un moyen simple de la contourner (sachant que le serveur
SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le
réseau interne)
Question idiote: pourquoi ne pas mettre le NAT sur le port 22?
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
debug1: Server will not fork when running in debugging mode. Connection from xxxxxx port 47000 debug1: Client protocol version 2.0; client software version OpenSSH_2.9p2 debug1: match: OpenSSH_2.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1* Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-1.99-OpenSSH_3.4p1 debug2: Network child is on pid 3712 debug3: privsep user:group 502:502 debug1: list_hostkey_types: ssh-rsa,ssh-dss debug1: SSH2_MSG_KEXINIT sent debug3: preauth child monitor started debug3: mm_request_receive entering Read from socket failed: Connection reset by peer debug1: Calling cleanup 0x8069bdc(0x0) debug1: Calling cleanup 0x8069bdc(0x0)
Le protocole SSH est il allergique à une telle translation de port ?
Je ne crois pas, mais je n'ai jamais essayé.
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Question idiote: pourquoi ne pas mettre le NAT sur le port 22?
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
Jacques.
Alain Montfranc
Xes wrote:
Bonsoir
J'ai le pb suivant
Internet --- routeur ---- serveur SSH sur le port 22
Mon routeur fait une NAT classique mais en plus accepte des connexions sur le port 25 qu'il redirige sur le port 22 du serveur SSH :
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Répond quoi ?
Trying xxxxx... Connected xxxxx. Escape character is '^]'. SSH-1.99-OpenSSH_3.4p1
Cependant une tentative de connexion ssh echoue...
Read from socket failed: Connection reset by peer
Le protocole SSH est il allergique à une telle translation de port ?
Il n'y a pas de raison
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Oula :-D T'a essayé déjà de rediriger ce qui arrive sur le port 22 du routeur sur la bécane ou est ssh (en port 22 bien sur)?
Pourquoi faire une translation de port ?
Pour sortir d'un reseau ou le 22 n'a pas le droit :-)
Xes wrote:
Bonsoir
J'ai le pb suivant
Internet --- routeur ---- serveur SSH sur le port 22
Mon routeur fait une NAT classique mais en plus accepte des connexions
sur le port 25 qu'il redirige sur le port 22 du serveur SSH :
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Répond quoi ?
Trying xxxxx...
Connected xxxxx.
Escape character is '^]'.
SSH-1.99-OpenSSH_3.4p1
Cependant une tentative de connexion ssh echoue...
Read from socket failed: Connection reset by peer
Le protocole SSH est il allergique à une telle translation de port ?
Il n'y a pas de raison
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH
ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le
réseau interne)
Oula :-D
T'a essayé déjà de rediriger ce qui arrive sur le port 22 du routeur sur la
bécane ou est ssh (en port 22 bien sur)?
Pourquoi faire une translation de port ?
Pour sortir d'un reseau ou le 22 n'a pas le droit :-)
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Répond quoi ?
Trying xxxxx... Connected xxxxx. Escape character is '^]'. SSH-1.99-OpenSSH_3.4p1
Cependant une tentative de connexion ssh echoue...
Read from socket failed: Connection reset by peer
Le protocole SSH est il allergique à une telle translation de port ?
Il n'y a pas de raison
Existe t'il un moyen simple de la contourner (sachant que le serveur SSH ne peut faire tourner le SSH sur le port 25 qui est utilisé sur le réseau interne)
Oula :-D T'a essayé déjà de rediriger ce qui arrive sur le port 22 du routeur sur la bécane ou est ssh (en port 22 bien sur)?
Pourquoi faire une translation de port ?
Pour sortir d'un reseau ou le 22 n'a pas le droit :-)
Alain Montfranc
Jacques Caron wrote:
Salut,
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
Je viens d'essayer d'un autre client et le symptome est différent (!!)
Coté client :
Warning: Permanently added the RSA host key for IP address 'xxxxx' to th e list of known hosts. ssh_rsa_verify: RSA_verify failed: error:04077068:rsa routines:RSA_verify:bad si gnature key_verify failed for server_host_key
Et cote ssh :
debug1: sshd version OpenSSH_3.4p1 debug1: private host key: #0 type 0 RSA1 debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key. debug1: read PEM private key done: type RSA debug1: private host key: #1 type 1 RSA debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key. debug1: read PEM private key done: type DSA debug1: private host key: #2 type 2 DSA socket: Address family not supported by protocol debug1: Bind to port xxx on 0.0.0.0. Server listening on 0.0.0.0 port xxx. Generating 768 bit RSA key. RSA key generation complete. debug1: Server will not fork when running in debugging mode. Connection from xxxxxxx port 16048 debug1: Client protocol version 2.0; client software version OpenSSH_2.9p2 debug1: match: OpenSSH_2.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1* Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-1.99-OpenSSH_3.4p1 debug2: Network child is on pid 28914 debug3: privsep user:group 502:502 debug1: list_hostkey_types: ssh-rsa,ssh-dss debug1: SSH2_MSG_KEXINIT sent debug3: preauth child monitor started debug3: mm_request_receive entering debug1: SSH2_MSG_KEXINIT received debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-gro up1-sha1 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc, debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc, debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: none,zlib debug2: kex_parse_kexinit: none,zlib debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: first_kex_follows 0 debug2: kex_parse_kexinit: reserved 0 debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-gro up1-sha1 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-c
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: none debug2: kex_parse_kexinit: none debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: first_kex_follows 0 debug2: kex_parse_kexinit: reserved 0 debug2: mac_init: found hmac-md5 debug1: kex: client->server aes128-cbc hmac-md5 none debug2: mac_init: found hmac-md5 debug1: kex: server->client aes128-cbc hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received debug3: mm_request_send entering: type 0 debug3: mm_choose_dh: waiting for MONITOR_ANS_MODULI debug3: monitor_read: checking request 0 debug3: mm_answer_moduli: got parameters: 1024 2048 8192 debug3: mm_request_receive_expect entering: type 1 debug3: mm_request_receive entering debug3: mm_request_send entering: type 1 debug2: monitor_read: 0 used once, disabling now debug3: mm_choose_dh: remaining 0 debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent debug3: mm_request_receive entering debug1: dh_gen_key: priv key bits set: 130/256 debug1: bits set: 1576/3191 debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT debug1: bits set: 1590/3191 debug3: mm_key_sign entering debug3: mm_request_send entering: type 4 debug3: monitor_read: checking request 4 debug3: mm_answer_sign debug3: mm_answer_sign: signature 0x8090bd0(143) debug3: mm_request_send entering: type 5 debug2: monitor_read: 4 used once, disabling now debug3: mm_request_receive entering debug3: mm_key_sign: waiting for MONITOR_ANS_SIGN debug3: mm_request_receive_expect entering: type 5 debug3: mm_request_receive entering debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent debug1: kex_derive_keys debug1: newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: waiting for SSH2_MSG_NEWKEYS Connection closed by xxxxxx debug1: Calling cleanup 0x8069bdc(0x0) debug1: Calling cleanup 0x8069bdc(0x0)
Jacques Caron wrote:
Salut,
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc <alain-news@montfranc.com>
wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le
serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
Je viens d'essayer d'un autre client et le symptome est différent (!!)
Coté client :
Warning: Permanently added the RSA host key for IP address 'xxxxx' to th
e list of known hosts.
ssh_rsa_verify: RSA_verify failed: error:04077068:rsa
routines:RSA_verify:bad si
gnature
key_verify failed for server_host_key
Et cote ssh :
debug1: sshd version OpenSSH_3.4p1
debug1: private host key: #0 type 0 RSA1
debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA
socket: Address family not supported by protocol
debug1: Bind to port xxx on 0.0.0.0.
Server listening on 0.0.0.0 port xxx.
Generating 768 bit RSA key.
RSA key generation complete.
debug1: Server will not fork when running in debugging mode.
Connection from xxxxxxx port 16048
debug1: Client protocol version 2.0; client software version OpenSSH_2.9p2
debug1: match: OpenSSH_2.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-1.99-OpenSSH_3.4p1
debug2: Network child is on pid 28914
debug3: privsep user:group 502:502
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug3: preauth child monitor started
debug3: mm_request_receive entering
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit:
diffie-hellman-group-exchange-sha1,diffie-hellman-gro
up1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,
aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,
aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open
ssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open
ssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit:
diffie-hellman-group-exchange-sha1,diffie-hellman-gro
up1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,
aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-c
bc@lysator.liu.se
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,
aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-c
bc@lysator.liu.se
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open
ssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open
ssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug3: mm_request_send entering: type 0
debug3: mm_choose_dh: waiting for MONITOR_ANS_MODULI
debug3: monitor_read: checking request 0
debug3: mm_answer_moduli: got parameters: 1024 2048 8192
debug3: mm_request_receive_expect entering: type 1
debug3: mm_request_receive entering
debug3: mm_request_send entering: type 1
debug2: monitor_read: 0 used once, disabling now
debug3: mm_choose_dh: remaining 0
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug3: mm_request_receive entering
debug1: dh_gen_key: priv key bits set: 130/256
debug1: bits set: 1576/3191
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
debug1: bits set: 1590/3191
debug3: mm_key_sign entering
debug3: mm_request_send entering: type 4
debug3: monitor_read: checking request 4
debug3: mm_answer_sign
debug3: mm_answer_sign: signature 0x8090bd0(143)
debug3: mm_request_send entering: type 5
debug2: monitor_read: 4 used once, disabling now
debug3: mm_request_receive entering
debug3: mm_key_sign: waiting for MONITOR_ANS_SIGN
debug3: mm_request_receive_expect entering: type 5
debug3: mm_request_receive entering
debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
Connection closed by xxxxxx
debug1: Calling cleanup 0x8069bdc(0x0)
debug1: Calling cleanup 0x8069bdc(0x0)
On 14 Feb 2004 13:45:06 GMT, Alain Montfranc wrote:
Un telnet sur le port 25 depuis l'extérieur me réponds correctement.
Cependant une tentative de connexion ssh echoue...
Avec quel message d'erreur, et quelles informations dans les logs sur le serveur (en augmentant le niveau de trace de celui-ci, éventuellement)?
Je viens d'essayer d'un autre client et le symptome est différent (!!)
Coté client :
Warning: Permanently added the RSA host key for IP address 'xxxxx' to th e list of known hosts. ssh_rsa_verify: RSA_verify failed: error:04077068:rsa routines:RSA_verify:bad si gnature key_verify failed for server_host_key
Et cote ssh :
debug1: sshd version OpenSSH_3.4p1 debug1: private host key: #0 type 0 RSA1 debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key. debug1: read PEM private key done: type RSA debug1: private host key: #1 type 1 RSA debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key. debug1: read PEM private key done: type DSA debug1: private host key: #2 type 2 DSA socket: Address family not supported by protocol debug1: Bind to port xxx on 0.0.0.0. Server listening on 0.0.0.0 port xxx. Generating 768 bit RSA key. RSA key generation complete. debug1: Server will not fork when running in debugging mode. Connection from xxxxxxx port 16048 debug1: Client protocol version 2.0; client software version OpenSSH_2.9p2 debug1: match: OpenSSH_2.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1* Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-1.99-OpenSSH_3.4p1 debug2: Network child is on pid 28914 debug3: privsep user:group 502:502 debug1: list_hostkey_types: ssh-rsa,ssh-dss debug1: SSH2_MSG_KEXINIT sent debug3: preauth child monitor started debug3: mm_request_receive entering debug1: SSH2_MSG_KEXINIT received debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-gro up1-sha1 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc, debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc, debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: none,zlib debug2: kex_parse_kexinit: none,zlib debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: first_kex_follows 0 debug2: kex_parse_kexinit: reserved 0 debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-gro up1-sha1 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-c
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160, ssh.com,hmac-sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: none debug2: kex_parse_kexinit: none debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: first_kex_follows 0 debug2: kex_parse_kexinit: reserved 0 debug2: mac_init: found hmac-md5 debug1: kex: client->server aes128-cbc hmac-md5 none debug2: mac_init: found hmac-md5 debug1: kex: server->client aes128-cbc hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received debug3: mm_request_send entering: type 0 debug3: mm_choose_dh: waiting for MONITOR_ANS_MODULI debug3: monitor_read: checking request 0 debug3: mm_answer_moduli: got parameters: 1024 2048 8192 debug3: mm_request_receive_expect entering: type 1 debug3: mm_request_receive entering debug3: mm_request_send entering: type 1 debug2: monitor_read: 0 used once, disabling now debug3: mm_choose_dh: remaining 0 debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent debug3: mm_request_receive entering debug1: dh_gen_key: priv key bits set: 130/256 debug1: bits set: 1576/3191 debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT debug1: bits set: 1590/3191 debug3: mm_key_sign entering debug3: mm_request_send entering: type 4 debug3: monitor_read: checking request 4 debug3: mm_answer_sign debug3: mm_answer_sign: signature 0x8090bd0(143) debug3: mm_request_send entering: type 5 debug2: monitor_read: 4 used once, disabling now debug3: mm_request_receive entering debug3: mm_key_sign: waiting for MONITOR_ANS_SIGN debug3: mm_request_receive_expect entering: type 5 debug3: mm_request_receive entering debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent debug1: kex_derive_keys debug1: newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: waiting for SSH2_MSG_NEWKEYS Connection closed by xxxxxx debug1: Calling cleanup 0x8069bdc(0x0) debug1: Calling cleanup 0x8069bdc(0x0)
Jacques Caron
On 15 Feb 2004 13:16:46 GMT, Alain Montfranc wrote:
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
L'équipement qui assure le filtrage (firewall? routeur? passerelle?) est-il vraiment transparent sur le port 25?
Que donne une connexion depuis un autre réseau sans restriction (à partir d'un accès dialup ou ADSL perso quelconque, quoi), avec le même client, le même serveur, en attaquant sur le port 22 et/ou le port 25?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 15 Feb 2004 13:16:46 GMT, Alain Montfranc <alain-news@montfranc.com>
wrote:
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
L'équipement qui assure le filtrage (firewall? routeur? passerelle?)
est-il vraiment transparent sur le port 25?
Que donne une connexion depuis un autre réseau sans restriction (à partir
d'un accès dialup ou ADSL perso quelconque, quoi), avec le même client, le
même serveur, en attaquant sur le port 22 et/ou le port 25?
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On 15 Feb 2004 13:16:46 GMT, Alain Montfranc wrote:
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
L'équipement qui assure le filtrage (firewall? routeur? passerelle?) est-il vraiment transparent sur le port 25?
Que donne une connexion depuis un autre réseau sans restriction (à partir d'un accès dialup ou ADSL perso quelconque, quoi), avec le même client, le même serveur, en attaquant sur le port 22 et/ou le port 25?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Alain Montfranc
Jacques Caron wrote:
On 15 Feb 2004 13:16:46 GMT, Alain Montfranc wrote:
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
L'équipement qui assure le filtrage (firewall? routeur? passerelle?) est-il vraiment transparent sur le port 25?
oui
Que donne une connexion depuis un autre réseau sans restriction (à partir d'un accès dialup ou ADSL perso quelconque, quoi), avec le même client, le même serveur, en attaquant sur le port 22 et/ou le port 25?
Ca fait l'erreur Warning: Permanently added the RSA host key for IP address 'xxxxx' to th e list of known hosts. ssh_rsa_verify: RSA_verify failed: error:04077068:rsa routines:RSA_verify:bad si gnature key_verify failed for server_host_key
:-(
Jacques.
Jacques Caron wrote:
On 15 Feb 2004 13:16:46 GMT, Alain Montfranc <alain-news@montfranc.com>
wrote:
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
L'équipement qui assure le filtrage (firewall? routeur? passerelle?)
est-il vraiment transparent sur le port 25?
oui
Que donne une connexion depuis un autre réseau sans restriction (à
partir d'un accès dialup ou ADSL perso quelconque, quoi), avec le même
client, le même serveur, en attaquant sur le port 22 et/ou le port 25?
Ca fait l'erreur
Warning: Permanently added the RSA host key for IP address 'xxxxx' to th
e list of known hosts.
ssh_rsa_verify: RSA_verify failed: error:04077068:rsa
routines:RSA_verify:bad si
gnature
key_verify failed for server_host_key
On 15 Feb 2004 13:16:46 GMT, Alain Montfranc wrote:
Ben : connexion initiee depuis un reseau ou 22 ne peut pas sortir :-)
L'équipement qui assure le filtrage (firewall? routeur? passerelle?) est-il vraiment transparent sur le port 25?
oui
Que donne une connexion depuis un autre réseau sans restriction (à partir d'un accès dialup ou ADSL perso quelconque, quoi), avec le même client, le même serveur, en attaquant sur le port 22 et/ou le port 25?
Ca fait l'erreur Warning: Permanently added the RSA host key for IP address 'xxxxx' to th e list of known hosts. ssh_rsa_verify: RSA_verify failed: error:04077068:rsa routines:RSA_verify:bad si gnature key_verify failed for server_host_key
:-(
Jacques.
Jacques Caron
On 16 Feb 2004 09:50:34 GMT, Alain Montfranc wrote:
Ca fait l'erreur Warning: Permanently added the RSA host key for IP address 'xxxxx' to th e list of known hosts. ssh_rsa_verify: RSA_verify failed: error:04077068:rsa routines:RSA_verify:bad si gnature key_verify failed for server_host_key
Ca c'est dans le cas port 22 ou port 25, ou les deux?
Je pense que malheureusement un bon coup d'ethereal risque d'être nécessaire pour comprendre ce qui se passe, mais je ne me sens pas vraiment d'humeur à analyser ça aujourd'hui (mais je suis sûr qu'il y a des volontaires).
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 16 Feb 2004 09:50:34 GMT, Alain Montfranc <alain-news@montfranc.com>
wrote:
Ca fait l'erreur
Warning: Permanently added the RSA host key for IP address 'xxxxx' to th
e list of known hosts.
ssh_rsa_verify: RSA_verify failed: error:04077068:rsa
routines:RSA_verify:bad si
gnature
key_verify failed for server_host_key
Ca c'est dans le cas port 22 ou port 25, ou les deux?
Je pense que malheureusement un bon coup d'ethereal risque d'être
nécessaire pour comprendre ce qui se passe, mais je ne me sens pas
vraiment d'humeur à analyser ça aujourd'hui (mais je suis sûr qu'il y a
des volontaires).
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On 16 Feb 2004 09:50:34 GMT, Alain Montfranc wrote:
Ca fait l'erreur Warning: Permanently added the RSA host key for IP address 'xxxxx' to th e list of known hosts. ssh_rsa_verify: RSA_verify failed: error:04077068:rsa routines:RSA_verify:bad si gnature key_verify failed for server_host_key
Ca c'est dans le cas port 22 ou port 25, ou les deux?
Je pense que malheureusement un bon coup d'ethereal risque d'être nécessaire pour comprendre ce qui se passe, mais je ne me sens pas vraiment d'humeur à analyser ça aujourd'hui (mais je suis sûr qu'il y a des volontaires).
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Emmanuel Priem
Le protocole SSH est il allergique à une telle translation de port ? Je ne crois pas, mais je n'ai jamais essayé.
