подключение по SSH из внешки к серверу с внешним статическим IP

[mrdobriy]

Здравствуйте! В общем сразу к делу. Есть серв. на нём Ubuntu Server 12.10. Соответственно ему присвоен белый статический айпи. Задача настроить к нему подключение из внешнего мира.
Из внешнего мира айпи этот пингуется. nmap кидал по стандарту 22 порт открыт под ssh.в последствии, конечно, поменяю.Сразу скажу что сервер является NATом.
Что пробовал:

Подключить сетевой кабель к ноуту с виндой, открыл настеж все порты, вырубил брандмауэр (везде где только можно). Результата нет, всё равно по ssh не достучаться.
Кстати, если из внутренней сети пытаться подключиться всё получается, работает. а из внешки не пускает.

Подскажите пожалуйста, что можно сделать?

[fisher74]

Видимо проверяли-то 22 порт из локальной сети....
sudo iptables-save

[ArcFi]

В довесок:

Код: [Выделить]

sudo ss -lnpt | grep ssh

[gva230]

22 порт открыт под ssh.в последствии, конечно, поменяю.Сразу скажу что сервер является NATом.

А 22-й порт случайно не натится в локалку? Возможно, в настройках файервола правило для 22-го порта следует поставить выше правил для ната?

[fisher74]

бекап правил нам больше расскажет, чем лирический опус топикстартера

[mrdobriy]

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Wed Feb 27 11:12:35 2013
*nat
:PREROUTING ACCEPT [485733:31900027]
:INPUT ACCEPT [214500:13948503]
:OUTPUT ACCEPT [343794:20661303]
:POSTROUTING ACCEPT [82505:4912031]
-A POSTROUTING -o p49p1 -j MASQUERADE
COMMIT
# Completed on Wed Feb 27 11:12:35 2013
# Generated by iptables-save v1.4.12 on Wed Feb 27 11:12:35 2013
*filter
:INPUT ACCEPT [817674:257944580]
:FORWARD ACCEPT [11028918:9965847152]
:OUTPUT ACCEPT [1054346:163807368]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i p49p1 -o p49p1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Feb 27 11:12:35 2013

sudo ss -lnpt | grep ssh

(Нажмите, чтобы показать/скрыть)

csi@CSIserver:~$ sudo ss -lnpt | grep ssh
LISTEN     0      128          XXX.XXX.XXX.XXX:22                       *:*      users:(("sshd",11248,3))

[fisher74]

Вы сами ограничили его одним интерфейсом?
grep -v "^$\|^#" /etc/ssh/sshd_config

[mrdobriy]

нет, до меня работал другой админ, но он вдруг ретировался. а я только-только начал осваивать ubuntu.

Код: [Выделить]

grep -v "^$\|^#" /etc/ssh/sshd_config


(Нажмите, чтобы показать/скрыть)

Port 22
ListenAddress XXX.XXX.XXX.XXX
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

кинул nmap с другой машины вне локальной сети

(Нажмите, чтобы показать/скрыть)

Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-27 12:58 MSK
Nmap scan report for XXX.XXX.XXX.XXX
Host is up (0.094s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http

а вот он же, если кидать его из локалки

(Нажмите, чтобы показать/скрыть)

Starting Nmap 5.21 ( http://nmap.org ) at 2013-02-27 12:47 MSK
Nmap scan report for XXX.XXX.XXX.XXX
Host is up (0.028s latency).
Not shown: 997 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 6.0p1 Debian 3ubuntu1 (protocol 2.0)
53/tcp open  domain  ISC BIND 9.8.1-P1
80/tcp open  http    nginx 1.2.1
Service Info: OS: Linux

выходит во внешку открыт только порт 80?
поможет ли

Код: [Выделить]

iptables -A INPUT -i p49p1 -p tcp --dport 22 -j ACCEPT

[fisher74]

Нет, не поможет.

PermitRootLogin yes
смелый был парень...

А провайдер случайно не режет порты? Роутера никакого там перед Вами нет?
Адрес белый на интерфейсе p49p1?
Кстати, что за железка такая интересная?

[mrdobriy]

адрес на p49p1 белый. обращался к провайдеру (по сути мы сами себе являемся провайдером), говорят все порты у них открыты, но я полагаю, что по пути к нам стоит очень много всяких маршрутизаторов и там может обрезаются?

железка CISCO, материнка [ X8STi-3F ]

[fisher74]

Адрес на интерфейсе совпадает с адресом показываемом на определителях адресов, например 2ip.ru?
Можете первые две цифры не маскировать, а показать?

[mrdobriy]

19X.XXX.XXX

да там всё совпадает. Забыл уточнить: мы за прокси-сервером находимся. И тут поднят веб-сервер на 80 порту из интернета внешнего его видно. т.е. выходит порт 80 отрыт во внешнюю сеть. верно?

[fisher74]

19X.XXX.XXX

да там всё совпадает.

Вот почему Вас обязательно нужно уличить в неправде? Ведь тот же 2ip.ru показывает другой адрес, не белый.

Забыл уточнить: мы за прокси-сервером находимся.

И это является доказательством вышесказанного.

т.е. выходит порт 80 отрыт во внешнюю сеть. верно?

Да. Причём только он.

[mrdobriy]

т.е. как это не белый? у меня показывает один айпи потом строчка "Прокси:    Используется
Ваш IP адрес за прокси-сервером: 19X.XXX.XXX.XXX" и тут немного другой адрес, но первые две цифры те же.
какой смысл мне врать?
Пользователь решил продолжить мысль 27 Февраля 2013, 14:56:04:какой же айпи у меня по Вашим данным?

[ArcFi]

mrdobriy, покажите хотя бы

Код: [Выделить]

nmap -Pn -sV IP_ADDRснаружи и из локалки.