Re: [OT ?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04

To: debian-user-swedish@lists.debian.org
Cc: "Peter Carlsson" <maillist.peter@home.se>
Subject: Re: [OT ?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
From: "Stefan Alfredsson" <alfs@debian.org>
Date: Wed, 17 Jun 2009 00:05:03 +0200 (CEST)
Message-id: <[🔎] 4480.85.226.233.81.1245189903.squirrel@wm.adt.nu>
In-reply-to: <[🔎] 4A37FEBF.6010008@home.se>
References: <[🔎] 4A37EBE1.7060201@home.se> <[🔎] alpine.DEB.2.00.0906162119270.1932@salyut.bsnet.se> <[🔎] 4A37FEBF.6010008@home.se>

Först en allmän fråga, har du provat att koppla ihop maskinerna direkt och
sett så det fungerar, t.ex. med korsad ethernet eller via switch?

Om du inte har möjlighet till detta, fungerar ssh lokalt?

ssh 127.0.0.1
och
ssh 79.102.88.186

Peter Carlsson wrote:
> Kanske nån kan hjälpa mig tyda vad det betyder. Debian-burken har IP
> 83.227.134.223, vilket jag inte kan hitta i loggen på Ubuntun.
>
> Här är resultatet från Debian-sidan, dvs från den dator jag försöker
> ansluta från (med ssh):
>
> tcpdump host 79.102.88.186
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
> 22:08:28.577945 IP server.hemma.60333 >
> c-4f6658ba-74736162.cust.telenor.se.ssh: S 1168209627:1168209627(0) win
> 5840 <mss 1460,sackOK,timestamp 1367707957 0,nop,wscale 6>

"S" här ovan är "SYN", dvs ett uppkopplingspaket. De efterföljande paketen
har också S-flaggan satt, samt har samma sekvensnummer 1168209627, vilket
innebär att det är omsändningar. Detta händer eftersom det inte kommer
någon trafik tillbaka för att göra klart TCP-handskakningen.

> Och så här ser det ut på Ubuntu-sidan, dvs på den dator jag försöker
> ansluta till (med ssh):
>
>  > sudo tcpdump -i ppp0

Tips: Lägg på -n så blir det mer läsbart (ip-adress istället för långt
hostname). Dessutom slipper du sniffa DNS-trafik som kluddrar ner
utskriften. (alternativt kan man använda filter "not port 53")

> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96
> bytes
> 22:07:30.234622 IP c-4f6658ba-74736162.cust.telenor.se.48961 >
> res1.mobile.se.telenor.net.domain: 57571+[|domain]
> 22:07:30.266796 IP c-4f6658ba-74736162.cust.telenor.se.35305 >
> res1.mobile.se.telenor.net.domain: 57124+ PTR?
> 221.122.54.195.in-addr.arpa. (45)
> 22:07:35.239833 IP c-4f6658ba-74736162.cust.telenor.se.35765 >
> ns10.bredband.com.domain: 57571+[|domain]
> 22:07:35.271937 IP c-4f6658ba-74736162.cust.telenor.se.35939 >
> ns10.bredband.com.domain: 57124+ PTR? 221.122.54.195.in-addr.arpa. (45)
> 22:07:35.352739 IP ns10.bredband.com.domain >
> c-4f6658ba-74736162.cust.telenor.se.35765: 57571 7/0/0[|domain]
> 22:07:35.353282 IP c-4f6658ba-74736162.cust.telenor.se.34946 >
> 74.125.43.139.www: S 153175046:153175046(0) win 5840 <mss
> 1460,sackOK,timestamp 3700886 0,nop,wscale 5>
> 22:07:35.381732 IP res1.mobile.se.telenor.net.domain >
> c-4f6658ba-74736162.cust.telenor.se.48961: 57571 7/0/0[|domain]
> 22:07:35.381819 IP c-4f6658ba-74736162.cust.telenor.se >
> res1.mobile.se.telenor.net: ICMP c-4f6658ba-74736162.cust.telenor.se udp
> port 48961 unreachable, length 205

Detta är underligt. Den första DNS-frågan använde utgående port 48961, men
när svaret kommer tillbaka på denna skickas en icmp unreachable. Kan vara
en timeout på den första frågan, men kan också vara en brandvägg som
stoppar.

[snip tcpdumputskrift]

Det är bara DNS och webbtrafik du fångat. ssh-paketen verkar alltså
stoppas någonstans tidigare.

Förslag:

Stäng ner webbläsaren på Ubuntu, kör tcpdump -ni ppp0  och kör en portscan
från debian-maskinen. Då bör det synas ganska tydligt vilka portar som är
blockerade och inte.

Du kan också prova tcptraceroute, typ

sudo tcptraceroute 79.102.88.186 22

Det kommer då stjärnor där trafiken börjar blockeras. Jämför detta med
någon port som borde släppas igenom; port 80, 5060 eller någon högre port
mellan 10000 och 65000.

Min teori är att inga externa uppkopplingar tillåts av operatören. Den
enkla förklaringen är att kunden då skulle få betala för alla ssh
bruteforceattacker som ständigt pågår, eller än värre, en slashdottad
webserver som körs på mobilt bredband :). Även om man har fastprisavtal så
vill operatören hålla nere "icke-relevant" trafik så mycket det går för
att ge kapacitet åt alla i cellen.

Lyckas du inte med inloggning kan du lösa det ändå med port forwarding.

Sätt upp ett nyckelpar så att du kan logga in från ubuntu till debian utan
lösenord. Gör sedan ett script på ubuntumaskinen som kör

while [ 1 ]; do
ssh -R 2222:localhost:22 autologin@debian.host.se
done

Då kan du från debian köra  ssh user@debian.host.se -p 2222 (eller mot
debian localhost). Denna anslutning tunnlas då bakvägen till
ubuntumaskinen och du kan logga in.

Mvh,
 Stefan

Reply to:

Follow-Ups:
- Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
  - From: maillist.peter@home.se

References:
- [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
  - From: Peter Carlsson <maillist.peter@home.se>
- Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
  - From: Martin Bagge / brother <martin@bagge.nu>
- Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
  - From: Peter Carlsson <maillist.peter@home.se>

Prev by Date: Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
Next by Date: Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
Previous by thread: Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
Next by thread: Re: [OT?] Kan inte ssh:a från Debian Lenny till Ubuntu 9.04
Index(es):
- Date
- Thread