Buongiorno a tutti,
vorrei avere accesso dal mondo esterno al mio computer di casa, un piccolo server linux connesso tramite ADSL. E' possibile?
La connessione PPP mi dice:

ppp0 Link encap:Point-to-Point Protocol
inet addr:XXX.XXX.XXX.XXX P-t-P:YYY.YYY.YYY.YYY Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:2615133 errors:0 dropped:0 overruns:0 frame:0
TX packets:2112252 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1876647647 (1789.7 Mb) TX bytes:535210480 (510.4 Mb)

Non mi è ben chiaro il ruolo degli indirizzi XXX.XXX.XXX.XXX e YYY.YYY.YYY.YYY, ma credo che uno dei due sia il lato provider della connessione punto-punto giusto?

Quindi se il lato provider facesse un forward di tutto quanto potrei arrivare al mio server dall'esterno. E' corretto?

In alternativa un amico mi ha mostrato un modo alternativo: stabiliva una connessione ssh permanente con un computer esterno con IP fisso e poi creava una specie di forwarding.... ma anche questo sistema non mi è chiarissimo, e non dispongo di alcun appoggio esterno...

Grazie, Ciao!

io non vedo particolari problemi :mbe:

da una shell basta dare il comando

ssh indirizzo_ip

e se il client riesce a contattare fisicamente il server (ovvero questo non è dietro nat particolari) la connessione è stabilita. ci si dovrà poi autenticare, ma questo è un altro discorso

In realtà non credo che sia così semplice. Ho già provato a fare quello che tu dici (ovviamente), ma senza esito. Non riesco neppure a pingare l'host.

Mi sapresti almeno dire se nell'esempio di prima l'indirizzo corretto è XXX o YYY ?

Grazie

dovrebbe essere quello XXXXX

# iptables -L

cosa dice?

Le regole di IPTABLES attuali sono:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
ACCEPT tcp -- anywhere 172.16.1.11 tcp dpt:4662
ACCEPT udp -- anywhere 172.16.1.11 udp dpt:4672

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

e riprova a collegarti al server.
Se funziona devi inserire questa regola nello script che attiva il firewall all'avvio.

Grazie! Appena ho a disposizione un computer esterno faccio la prova.

Però non capisco una cosa. Io riesco a fare un ssh dalla LAN. In questo caso il pacchetto arriva ad un'altra interfaccia di rete (eth1). Ma le regole di iptables fanno distinzione tra le interfacce anche se non vengono specificate?

Ciao e grazie

niente da fare...

Da fuori riesco a pingare l'indirizzo YYY, ma facendo un nmap:

17/tcp open qotd
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
179/tcp open bgp
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
646/tcp open unknown
1026/tcp filtered LSA-or-nterm
1214/tcp filtered fasttrack
1433/tcp filtered ms-sql-s
4662/tcp filtered edonkey
5800/tcp filtered vnc-http
6346/tcp filtered gnutella
6347/tcp filtered gnutella2
6699/tcp filtered napster
8888/tcp open sun-answerbook

Questo evidentemente non è il mio server...
Mi sfugge qualcosa?

Ciao

Devi collegarti all' "inet addr:" , e lascia perdere i ping, che magari hai le risposte ai pacchetti ICMP disattivate.

Che risultato ti da "# iptables -L" dopo aver aggiunto la regola che ti ho scritto?

Ora IPTABLES dice:

root@nano:/etc/rc.d# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

up!

Ora IPTABLES dice:

root@nano:/etc/rc.d# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh

A questo punto dovresti riuscirci senza problemi.
Non è che sei nattato? che ADSL usi?

Ho la (famigerata) "tuttoincluso" di libero.

Proverò a collegarmi anche da altri host (non vorrei che fosse un problema del client!). Attualmente provo dalla mia università, in una rete senza proxy che dovrebbe essere a tutti gli effetti "esterna", ma verificherò.

Grazie!

UP!