[ dr_ambis @ 20.06.2006. 22:55 ] @
Imam ruter pod linuxom i moj racunar prikljucen na njega i jos nekoliko racunara koji su takodje zakaceni na taj ruter. Na ruteru je naravno nat, dhcp itd.

Ubio sam se citajuci man iptables i nikako da mi proradi.

Naime, zelim da mom racunaru koji je takodje pod linuxom pristupim sa interneta preko ssh-a.

Znaci treba mi komanda iptables koja ce sav saobracaj koji je okarakterisan kao ssh da prosledjuje na moj racunar.

[ malisha @ 20.06.2006. 23:52 ] @
tebi samo ruter tj. firewall da dozvoljava dolazni ssh na sam ruter, ostalo je samo logika.


logika= i na ruteru i na tvom racunaru imas podignut sshd, prvo pridjes sa ssh na ruter pa odande sa ssh na tvoj racunar...

p.s. naravno ako imas i na tvom racunaru firewall.. i na njemu "otvoris" prolaz za ssh... a sve to moze i preko tunneling-a.. ali o tom po tom..
[ dr_ambis @ 21.06.2006. 00:14 ] @
:)

Pa i vodim se tom logikom ali ubih se kucajuci iptables -A FORWARD ........ i nikako da mi uspe, uvek mi se zakaci ali na ruter nikako da forward-uje na moj racunar. Ne bih da se kacim na prvo na ruter preko ssh pa na odatle na moj racunar nego direktno sa interneta, znaci da nekako zaobidjem ssh na ruteru.

Pocetnik sam sa iptables pa mi ne ide :).
[ VRider @ 21.06.2006. 00:24 ] @
iptables -A PREROUTING -t nat -p tcp -d $EXT_IP \
--dport $ext_port -j DNAT \
--to-destination $int_ip:22
iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE \
-p tcp -d $int_ip --dport 22 -m state \
--state NEW -j ACCEPT

Promenljive su prilicno "samoobjasnjavajuce".
Za svaki slucaj:
-EXT_IP - spoljna ip adresa rutera
-ext_port - port na ruteru koji treba da bude preusmeren na masinu iza njega (22 ces verovatno da koristis za pristup samom ruteru)
-int_ip - adresa servera iza rutera
-ext_iface - interface ka internetu
-int_iface - interface ka lokalnoj mrezi
[ dr_ambis @ 21.06.2006. 01:17 ] @
evo sta se desava kad unesem komandu

iptables -A PREROUTING -t nat -p tcp -d $192.168.254.6 --dport $22 -j DNAT --to-destination $192.168.0.239:22

iptables v1.2.11: invalid TCP port/service `-j' specified
Try `iptables -h' or 'iptables --help' for more information.

kao da -j ne treba tu da stoji?
???????????


ispred ovog rutera je jos jedan ruter ali je namestena da svu vrstu saobracaja prebacuje na ovaj drugi ruter, tako da on nema veze sa podesavanjem ovog sto ja podesavam. Na taj drugi ruter je prikljucen samo ovaj drugi ruter i nista vise. ( u pitanju je adsl ruter, taj prvi)
[ VRider @ 21.06.2006. 01:31 ] @
Ne treba ti "$" ispred portova i ip-a.
To je samo za pristup promenljivoj u shellu.
Nebitno, izbaci dolare.
[ dr_ambis @ 21.06.2006. 02:59 ] @
Utkucao sam sve ovo i nece ni dalje. Mislim komande odrade ali nece da se spoji.

Kuckacu nesto pa cu valjda ubosti.

Fora je sto je moja internet adresa u stvari adresa ADSL rutera koji takodje u sebi ima nat, ali nema mogucnost
podesavanja preko iptables.
Predpostavljam da mi gore navedene komande radile da nema jos jednog rutera ispred ovog drugog.

Izgleda da ipak ima veze sto je jos jedan ruer ispred.
[ niceness @ 21.06.2006. 03:11 ] @
Naravno da ima veze.
Moras uraditi port forwarding i na adsl ruteru.
[ Milan Andjelkovic @ 21.06.2006. 08:43 ] @
niceness, čovek reče da se sav saobraćaj upućen na javni IP prosledjuje do drugog rutera, odnosno njegov privatni IP.

U svakom slučaju, dr_ambis, proveri sa tcpdump-om da li ti paket stiže na spoljni interfejs, i ako stiže, da li izlazi na ovaj drugi.
[ dr_ambis @ 21.06.2006. 22:24 ] @
ok. Provericu to.

Jos jednom da ponovim da je internet adresa ustvari adresa adsl rutera pa me buni to kad kucam ssh "internetIP"
ja ustvari pokusavam konekciju na ADSL ruter bez obzira sto je on namesten da prosledjuje sav saobracaj na ovaj drugi ruter ili mozda gresim.

Jeste da on prosledjuje sve na drugi ruter ali mozda tu ima neka caka. Ne znam, na ADSL ruteru ne moze da se radi forwarding preko iptables mada ima web administraciju i tu moze da se uradi port forwarding u natu da prosledjuje ssh konekciju na drugi ruter, medjutim tada se spaja preko ssh na drugi ruter i nikako nece pomocu prethodno navedenih komandi da forwarduje na moj racunar.

idem da probam sa tcpdumpom sta ce biti pa javljam.
[ dr_ambis @ 22.06.2006. 12:56 ] @
tcpdump je javio da konekcija dolazi do mog racunara i tako posle cele noci ispitivanja skontam da treba da podesim fajl known_hosts u /root/ssh da prima sve konekcije sa ssh-a i evo sada radi.

hvala svima na pomoci
[ VRider @ 22.06.2006. 13:18 ] @
Strasno!
Obavezno zabrani root login preko ssh-a, nego kao obican korisnik, pa onda su.
[ dr_ambis @ 23.06.2006. 01:03 ] @
:)

Ma tako sam i namestio ovo je samo bila proba da li radi.

Ipak hvala na upozorenju :)