Voglio collegarmi da fuori tramite SSH al mio server di casa (collegato in ADSL)

beppicus · 25-10-2006, 16:56

Buongiorno a tutti,
vorrei avere accesso dal mondo esterno al mio computer di casa, un piccolo server linux connesso tramite ADSL. E' possibile?
La connessione PPP mi dice:

ppp0 Link encap:Point-to-Point Protocol
inet addr:XXX.XXX.XXX.XXX P-t-P:YYY.YYY.YYY.YYY Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:2615133 errors:0 dropped:0 overruns:0 frame:0
TX packets:2112252 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1876647647 (1789.7 Mb) TX bytes:535210480 (510.4 Mb)

Non mi è ben chiaro il ruolo degli indirizzi XXX.XXX.XXX.XXX e YYY.YYY.YYY.YYY, ma credo che uno dei due sia il lato provider della connessione punto-punto giusto?

Quindi se il lato provider facesse un forward di tutto quanto potrei arrivare al mio server dall'esterno. E' corretto?

In alternativa un amico mi ha mostrato un modo alternativo: stabiliva una connessione ssh permanente con un computer esterno con IP fisso e poi creava una specie di forwarding.... ma anche questo sistema non mi è chiarissimo, e non dispongo di alcun appoggio esterno...

Grazie, Ciao!

Devil! · 25-10-2006, 17:45

io non vedo particolari problemi

da una shell basta dare il comando

Codice:

ssh indirizzo_ip

e se il client riesce a contattare fisicamente il server (ovvero questo non è dietro nat particolari) la connessione è stabilita. ci si dovrà poi autenticare, ma questo è un altro discorso

beppicus · 25-10-2006, 18:41

In realtà non credo che sia così semplice. Ho già provato a fare quello che tu dici (ovviamente), ma senza esito. Non riesco neppure a pingare l'host.

Mi sapresti almeno dire se nell'esempio di prima l'indirizzo corretto è XXX o YYY ?

Grazie

Devil! · 25-10-2006, 18:47

dovrebbe essere quello XXXXX

renaulto · 25-10-2006, 23:05

# iptables -L

cosa dice?

beppicus · 25-10-2006, 23:16

Le regole di IPTABLES attuali sono:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
ACCEPT tcp -- anywhere 172.16.1.11 tcp dpt:4662
ACCEPT udp -- anywhere 172.16.1.11 udp dpt:4672

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

renaulto · 26-10-2006, 02:30

# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

e riprova a collegarti al server.
Se funziona devi inserire questa regola nello script che attiva il firewall all'avvio.

beppicus · 26-10-2006, 09:55

Grazie! Appena ho a disposizione un computer esterno faccio la prova.

Però non capisco una cosa. Io riesco a fare un ssh dalla LAN. In questo caso il pacchetto arriva ad un'altra interfaccia di rete (eth1). Ma le regole di iptables fanno distinzione tra le interfacce anche se non vengono specificate?

Ciao e grazie

beppicus · 26-10-2006, 17:01

niente da fare...

Da fuori riesco a pingare l'indirizzo YYY, ma facendo un nmap:

17/tcp open qotd
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
179/tcp open bgp
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
646/tcp open unknown
1026/tcp filtered LSA-or-nterm
1214/tcp filtered fasttrack
1433/tcp filtered ms-sql-s
4662/tcp filtered edonkey
5800/tcp filtered vnc-http
6346/tcp filtered gnutella
6347/tcp filtered gnutella2
6699/tcp filtered napster
8888/tcp open sun-answerbook

Questo evidentemente non è il mio server...
Mi sfugge qualcosa?

Ciao

renaulto · 26-10-2006, 19:26

Devi collegarti all' "inet addr:" , e lascia perdere i ping, che magari hai le risposte ai pacchetti ICMP disattivate.

Che risultato ti da "# iptables -L" dopo aver aggiunto la regola che ti ho scritto?

beppicus · 27-10-2006, 00:36

Ora IPTABLES dice:

root@nano:/etc/rc.d# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

beppicus · 27-10-2006, 14:22

up!

renaulto · 27-10-2006, 15:44

Quote:

Originariamente inviato da beppicus

Ora IPTABLES dice:

root@nano:/etc/rc.d# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh

A questo punto dovresti riuscirci senza problemi.
Non è che sei nattato? che ADSL usi?

beppicus · 28-10-2006, 00:16

Ho la (famigerata) "tuttoincluso" di libero.

Proverò a collegarmi anche da altri host (non vorrei che fosse un problema del client!). Attualmente provo dalla mia università, in una rete senza proxy che dovrebbe essere a tutti gli effetti "esterna", ma verificherò.

Grazie!

beppicus · 29-10-2006, 10:03

UP!

25-10-2006, 16:56	#1
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	Voglio collegarmi da fuori tramite SSH al mio server di casa (collegato in ADSL) Buongiorno a tutti, vorrei avere accesso dal mondo esterno al mio computer di casa, un piccolo server linux connesso tramite ADSL. E' possibile? La connessione PPP mi dice: ppp0 Link encap:Point-to-Point Protocol inet addr:XXX.XXX.XXX.XXX P-t-P:YYY.YYY.YYY.YYY Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:2615133 errors:0 dropped:0 overruns:0 frame:0 TX packets:2112252 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:1876647647 (1789.7 Mb) TX bytes:535210480 (510.4 Mb) Non mi è ben chiaro il ruolo degli indirizzi XXX.XXX.XXX.XXX e YYY.YYY.YYY.YYY, ma credo che uno dei due sia il lato provider della connessione punto-punto giusto? Quindi se il lato provider facesse un forward di tutto quanto potrei arrivare al mio server dall'esterno. E' corretto? In alternativa un amico mi ha mostrato un modo alternativo: stabiliva una connessione ssh permanente con un computer esterno con IP fisso e poi creava una specie di forwarding.... ma anche questo sistema non mi è chiarissimo, e non dispongo di alcun appoggio esterno... Grazie, Ciao! __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

25-10-2006, 17:45	#2
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	io non vedo particolari problemi da una shell basta dare il comando Codice: ssh indirizzo_ip e se il client riesce a contattare fisicamente il server (ovvero questo non è dietro nat particolari) la connessione è stabilita. ci si dovrà poi autenticare, ma questo è un altro discorso __________________

25-10-2006, 18:41	#3
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	In realtà non credo che sia così semplice. Ho già provato a fare quello che tu dici (ovviamente), ma senza esito. Non riesco neppure a pingare l'host. Mi sapresti almeno dire se nell'esempio di prima l'indirizzo corretto è XXX o YYY ? Grazie __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

25-10-2006, 18:47	#4
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	dovrebbe essere quello XXXXX __________________

25-10-2006, 23:16	#6
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	Le regole di IPTABLES attuali sono: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-port-unreachable ACCEPT tcp -- anywhere 172.16.1.11 tcp dpt:4662 ACCEPT udp -- anywhere 172.16.1.11 udp dpt:4672 Chain OUTPUT (policy ACCEPT) target prot opt source destination __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

25-10-2006, 23:05	#5
renaulto Member Iscritto dal: Oct 2004 Messaggi: 159	# iptables -L cosa dice?

26-10-2006, 02:30	#7
renaulto Member Iscritto dal: Oct 2004 Messaggi: 159	# iptables -A INPUT -p tcp --dport 22 -j ACCEPT e riprova a collegarti al server. Se funziona devi inserire questa regola nello script che attiva il firewall all'avvio.

26-10-2006, 09:55	#8
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	Grazie! Appena ho a disposizione un computer esterno faccio la prova. Però non capisco una cosa. Io riesco a fare un ssh dalla LAN. In questo caso il pacchetto arriva ad un'altra interfaccia di rete (eth1). Ma le regole di iptables fanno distinzione tra le interfacce anche se non vengono specificate? Ciao e grazie __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

26-10-2006, 17:01	#9
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	niente da fare... Da fuori riesco a pingare l'indirizzo YYY, ma facendo un nmap: 17/tcp open qotd 135/tcp filtered msrpc 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 179/tcp open bgp 445/tcp filtered microsoft-ds 593/tcp filtered http-rpc-epmap 646/tcp open unknown 1026/tcp filtered LSA-or-nterm 1214/tcp filtered fasttrack 1433/tcp filtered ms-sql-s 4662/tcp filtered edonkey 5800/tcp filtered vnc-http 6346/tcp filtered gnutella 6347/tcp filtered gnutella2 6699/tcp filtered napster 8888/tcp open sun-answerbook Questo evidentemente non è il mio server... Mi sfugge qualcosa? Ciao __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

26-10-2006, 19:26	#10
renaulto Member Iscritto dal: Oct 2004 Messaggi: 159	Devi collegarti all' "inet addr:" , e lascia perdere i ping, che magari hai le risposte ai pacchetti ICMP disattivate. Che risultato ti da "# iptables -L" dopo aver aggiunto la regola che ti ho scritto?

27-10-2006, 00:36	#11
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	Ora IPTABLES dice: root@nano:/etc/rc.d# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ssh Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) target prot opt source destination __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

27-10-2006, 14:22	#12
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	up! __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

28-10-2006, 00:16	#14
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	Ho la (famigerata) "tuttoincluso" di libero. Proverò a collegarmi anche da altri host (non vorrei che fosse un problema del client!). Attualmente provo dalla mia università, in una rete senza proxy che dovrebbe essere a tutti gli effetti "esterna", ma verificherò. Grazie! __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

29-10-2006, 10:03	#15
beppicus Member Iscritto dal: Apr 2003 Città: Pavia Messaggi: 262	UP! __________________ Acer Aspire 1501Lmi "AcerONE" Kubuntu + Win XP (quanto basta) Canon Digital IXUS V3 Le mie foto su www.pbase.com

Strumenti
Mostra una versione stampabile Invia questa pagina per email