PDA

Afficher la version complète : [Suse] Serveur SSH



802.3x
14/06/2005, 10h39
Bonjour, je voudrais comment modifier le port écoute du serveur ssh.. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/huh.gif
ou se situe les fichier pour apporter ses modification.


Thks.

chamaeleo
14/06/2005, 10h54
C'est /etc/ssh/sshd_config au début dans "default value"
Port 22

aldrik
14/06/2005, 10h55
Il vaut éditer le fichier
/etc/ssh/ssh_config

tu as une instruction Port 22 avec un dièze pour le mettre en commentaire, décommentes la ligne et met le port que souhaites, je pense.

Comme je n'ai jamais eu besoin de changer le port, je ne peux te garantir que ça marche, donc que cela fonctionne ou pas tu nous tiens au courant.

pdemong
14/06/2005, 16h34
Je suis pas sur, mais tu retrouves l'info dans /etc/services

# Jon Postel <postel@isi.edu>
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol

donc si tu veux modifier le port, modifie aussi dans ce fichier...

aldrik
14/06/2005, 16h44
Originally posted by pdemong@mardi 14 juin 2005 à 17:34
Je suis pas sur, mais tu retrouves l'info dans /etc/services

#* * * * * * * * * * * * * Jon Postel <postel@isi.edu>
ssh* * * * * * * 22/tcp* * # SSH Remote Login Protocol
ssh* * * * * * * 22/udp* * # SSH Remote Login Protocol

donc si tu veux modifier le port, modifie aussi dans ce fichier...
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42150)[/quote]


Que dis tu là !!!!!!???!!!????!!!!

Surtout pas !!

Ce fichier permet de nommer les ports et n'agis pas sur le service !!!

Quand le système veut donner un nom plutôt qu'un numéro de port, il utilise ce fichier, il faut le considérer plus comme une base de nom, ce n'est pas un fichier de configuration.

802.3x
15/06/2005, 10h08
Effectivement sauf erreur de ma part j'ai apporté des modifications sur le fichier /etc/ssh/sshd_config
port 22 ==> 342

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif

Cela dit il prennait bien en compte un changement car je ne pouvais plus acceder au poste via le port 22.

En regardant de plus il y a bien un fichier ssh_config.
/etc/ssh/ssh_config

Mais tout les éléments sont en commentaire. ' # ' avec pour valeur # port 22
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cool.gif
je vais apporter des modifications. Et voir ce qui en retourne.. je vous tiens au courant..
Thks..

aldrik
15/06/2005, 10h37
Originally posted by 802.3x@mercredi 15 juin 2005 à 11:08
En regardant de plus il y a bien un fichier ssh_config.
/etc/ssh/ssh_config

Mais tout les éléments sont en commentaire.* ' # ' avec pour valeur # port 22
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cool.gif
je vais apporter des modifications. Et voir ce qui en retourne.. je vous tiens au courant..
Thks..
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42250)[/quote]

Je me suis trompé, ssh_config, configure le comportement du client ssh et sshd_config le serveur, donc dans ton cas c'est surtout sshd_config pour changer le port d'écoute, ssh_config va changer le par défaut utiliser pour se connecter à un serveur.

Milles excuses, j'ai fait un copié collé du mauvais fichier sur le serveur.

802.3x
15/06/2005, 10h57
D'accord donc c'est bien au niveau du fichier sshd_conf que je dois apporter des modification.. port 22 le changer en port 342
/etc/ssh/sshd_config

Mais il ne prend pas en compte mes modifications. même apres un redemarrage de la machine..
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/huh.gif
je n'arrive pas a cerner la cause.

belaran
15/06/2005, 14h53
Originally posted by 802.3x@mercredi 15 juin 2005 à 10:57
Mais il ne prend pas en compte mes modifications. même apres un redemarrage de la machine..
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/huh.gif
je n'arrive pas a cerner la cause.

J'ai essayé et g le même problème:


ARES:~ belaran$ ssh 192.168.10.103
ssh: connect to host 192.168.10.103 port 22: Connection refused
ARES:~ belaran$ ssh -p 243 192.168.10.103
ssh: connect to host 192.168.10.103 port 243: Connection timeout

Alors soit il manque une option coté client ou alors il manque quelquechose coté SuSe...
Peut être au niveau du firewall ...

Mais d'ailleurs ça doit être ça !

802.3x tu peux essayer et me tenir au courant, car je n'ai pas accès à ma machine ( elle est chez moi et je suis au bureau ... )

belaran
15/06/2005, 19h10
[Reglé]

Ct bien le firewall... Dans la configuration de YaST, tu choisis configurer le firewall et dans la case expert tu ajoutes ton port en UDP et TCP.

Je pense que SSH n'utilise que le TCP mais dans le doute... Je vais essayer de vérifier ( there is no need to let a port open for nothing...)

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif

802.3x
15/06/2005, 19h56
Originally posted by belaran@mercredi 15 juin 2005 à 19:10
[Reglé]

Ct bien le firewall... Dans la configuration de YaST, tu choisis configurer le firewall et dans la case expert tu ajoutes ton port en UDP et TCP.

Je pense que SSH n'utilise que le TCP mais dans le doute... Je vais essayer de vérifier ( there is no need to let a port open for nothing...)

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42311)[/quote]

Au niveau du firewall c'est ouvert ..
Sinon coté client il n'y a pas grand chose a faire uniquement changer le numéro du port..

802.3x
21/06/2005, 12h56
Bonjour, je me retourne a nouveau vers vous. concernant mon probleme SSH pour etablir de connexion sur des postes en lan . et le serveur Nat en ssh..

Je n'ai toujours pas su etablir une connexion SSH via les port suivant 333 444 555 sur les deux machines dans le lan et le serveur NAT.

Pourtant sur chaque machine je modifier bien correctement le port xxx dans le fichier /etc/ssh/sshd_config


:/ mais pas possible etablir de liasion uniquement si je retablir les parametre par defauts... Sur le port 22 . sur le serveur Nat..

Pourrait-on m'explique etape par etape la mise en place de celui-ci . Merci.

aldrik
21/06/2005, 13h19
Ouh là, c'est le serveur où tu modifies le fichier de configuration, pas les machines clientes je pense.

belaran
21/06/2005, 14h00
Originally posted by 802.3x@mardi 21 juin 2005 à 12:56
Je n'ai toujours pas su etablir une connexion SSH via les port suivant 333 444 555 sur les deux machines dans le lan et le serveur NAT.

Pourtant sur chaque machine je modifier bien correctement le port xxx dans le fichier /etc/ssh/sshd_config
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42956)[/quote]

Oh là , mettons un peu d'ordre là dedans :

Tu as un réseau LAN avec X machines ( appelons ces machines A,B,C)
et un serveur NAT ( appellelons S) , c'est ça ?

Ton objectif est changer le port SSH du serveur, non ?

Alors modife le /etc/ssh/sshd_config du SERVEUR S. et avec les machines clientes A,B,C tu fais juste :
#ssh -p XXX adresse_du_serveur

Et ne change pas les conf de A,B,C ...

Si ton objectif explique-le nous...

Voilà !

802.3x
21/06/2005, 14h28
Originally posted by belaran+mardi 21 juin 2005 à 14:00--><div class='quotetop'>Citation (belaran @ mardi 21 juin 2005 à 14:00)</div>
<!--QuoteBegin-802.3x@mardi 21 juin 2005 à 12:56

Je n'ai toujours pas su etablir une connexion SSH via les port suivant 333 444 555 sur les deux machines dans le lan et le serveur NAT.

Pourtant sur chaque machine je modifier bien correctement le port xxx dans le fichier /etc/ssh/sshd_config
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42956)

Oh là , mettons un peu d'ordre là dedans :

Tu as un réseau LAN avec X machines ( appelons ces machines A,B,C)
et un serveur NAT ( appellelons S) , c'est ça ?

Ton objectif est changer le port SSH du serveur, non ?

Alors modife le /etc/ssh/sshd_config du SERVEUR S. et avec les machines clientes A,B,C tu fais juste :
#ssh -p XXX adresse_du_serveur

Et ne change pas les conf de A,B,C ...

Si ton objectif explique-le nous...

Voilà !
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42967)</div>
[/b][/quote]



Désole. je ne suis pas claire.

La structure se presente ainsi . il y a 4 machine 1 une passerelle sur www (Serveur S) et 3 serveur dans le LAN (A,B,C)..


| LAN 192.168.1.x |

INTERNET ==> Serveur S |++++> Server_A
|++++> Server_B
|++++> Server_C


je veux me connecter sur chaque machine en SSH en distant via l'adresse ip Publique.


212.23.245:111 Pour exemple.

- Server_A : 212.23.245.111: 222
- Server_B : 212.23.245.111: 333
- Server_C : 212.23.245.111: 444

Concernant le SERVEUR S : Je change egalement son port :212.23.245.111: 111


Originally posted by belaran@mardi 21 juin 2005 à 14:00
Ton objectif est changer le port SSH du serveur, non ?

Oui, effectivement je veux changer tout les Ports..


Je vous cite ce que j'ai fais jusqu'a present..

Pour Chaque serveur A,B et C j'ai modifier le fichier /etc/ssh/sshd_config numéro du port 222 | 333 | 444

Pour le serveur S egalement changer le numéro du port.
/etc/ssh/sshd_config numéro du port 111

Ensuite j'ai modifier mon fichier /etc/network/if-pre... /iptables-start


#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start


# REMISE à ZERO des règles de filtrage
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 111 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
# forwardée au client)
#Connexion sécuriser en ssh sur les serveur dans le LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -j DNAT --to-destination 192.168.1.2:222
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 333 -j DNAT --to-destination 192.168.1.3:333
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 444 -j DNAT --to-destination 192.168.1.4:444

# FIN des règles de "port forwarding"


Sinon j'ai tenté un arrete des service IPtables pour tenter dans un premier temps uniquement une connection sur le Serveur S sur un autre port via la commande :
/etc/init.d/iptables stop impossible arrêter celui-ci..

aldrik
21/06/2005, 14h41
donc tu veux faire du port forwarding.

Te prend pas la peine à ce moment, tu fais écouter toutes tes machines sur le port 22 et c'est ton firewall qui aura des ports spécifiques

si port 444 va vers machine A port 22
si port 445 va vers machine B port 22
etc ..


mais en fait à aucun moment tu n'as besoin de changer les ports d'écoutes, tu as un problème de configuration de iptable.

Moi perso je n'écris pas directement les règles ip table, je passe par des solutions qui me les génères à travers une interface, les redirections de port marchent du premier coups et ça me suffit.

Malheureusement le problème reste entier pour iptable, y'a pas un furieux des scripts iptable ici ?

belaran
21/06/2005, 14h50
Attend, si tu passes par internet, il y'a un routeur/hub/swithc/ qui relie les serveurs au réseau non ?

As-tu fait du port fording ( ie virtual server)

càd à tu dis à l'équipement qui fait le LAN de redigirer les demande de connexion sur le port 222 à la machine A... Sinon, par défaut ce genre de machine ne foward pas les port...

802.3x
21/06/2005, 14h50
aldrik tu utilises quoi comme source pour interface netfilter / iptables
via une page web.

Qui me pêrmettrait interface le Serveur S a distance fait du forwarding et Nat 1 to 1 qui tres important pour moi pour la suite dans un deuxieme temps.

pointing 212.23.245.112 ==> 192.168.1.2
pointing 212.23.245.113 ==> 192.168.1.3
pointing 212.23.245.114 ==> 192.168.1.4


Sinon vous pouvez me conseiller des livre sur IPtables...
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

802.3x
21/06/2005, 14h54
Originally posted by belaran@mardi 21 juin 2005 à 14:50
Attend, si tu passes par internet, il y'a un routeur/hub/swithc/ qui relie les serveurs au réseau non ?

As-tu fait du port fording ( ie virtual server)

càd à tu dis à l'équipement qui fait le LAN de redigirer les demande de connexion sur le port 222 à l
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42972)[/quote]


oui, le serveur S a deux port ethernet ETH0 & ETH1
ETh1 ==> 192.168.1.1
relier a un switch Cisco.

Server A,B,C sont egalement brancher sur le swicth Cisco.



Originally posted by belaran@mardi 21 juin 2005 à 14:50
càd à tu dis à l'équipement qui fait le LAN de redigirer les demande de connexion sur le port 222 à l
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42972)[/quote]

oui, je l'ai fais dans ma regle iptable ..


#Connexion sécuriser en ssh sur les serveur dans le LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -j DNAT --to-destination 192.168.1.2:222
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 333 -j DNAT --to-destination 192.168.1.3:333
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 444 -j DNAT --to-destination 192.168.1.4:444
a partir de là si je tents une connexon via putty sur 212.23.245.112 port 222 je devrais aller sur le serveur A ..
normalement..

aldrik
21/06/2005, 15h09
Originally posted by 802.3x@mardi 21 juin 2005 à 15:50
aldrik tu utilises quoi comme source pour interface netfilter / iptables
via une page web.*

Qui me pêrmettrait interface le Serveur S a distance fait du forwarding et Nat 1 to 1 qui tres important pour moi pour la suite* dans un deuxieme temps.

pointing 212.23.245.112 ==> 192.168.1.2
pointing 212.23.245.113 ==> 192.168.1.3
pointing 212.23.245.114 ==> 192.168.1.4


Sinon vous pouvez me conseiller des livre sur IPtables...
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=42973)[/quote]

Dans mon cas le routeur final matériel, lui il redirige vers une machine que me sers de firewall sous suse. Au niveau du routeur j'utilise l'interface web livré avec.

Au niveau du serveur Suse qui gère plus en détail, j'utilise le couple webmin+shorewall, et c'est lui qui dispatch les connexions entrantes pour les clients (skype pour les utilisateurs web, ftp, web etc ...), j'ai géré tous mes réseaux comme çà, jamais de problème.