Re: ssh et freebox

["Patrice OLIVER" <oliverp21@gmail.com>]

Le 19/05/06, Klaus Becker <colonius@free.fr> a écrit :

Am Freitag 19 Mai 2006 20:45 schrieb Klaus Becker:
> Am Donnerstag 18 Mai 2006 23:07 schrieb Daniel Huhardeaux:
> > Klaus Becker wrote:
> > > Salut,
> > >
> > > j'essaye en vain de me connecter au pc d'un ami par ssh.
> > > Nous avons tous les 2 une freebox, ssh tourne, le port 22 est ouvert et
> > > le forwarding de la freebox vers le port 22 est configuré sur le site
> > > de free, les connexions destinées à être forwardées sont acceptées par
> > > defaut

J'ai testé de nouveau ce soir avec mon ami, et nous avons tous les 2 déscativé
notre firewall (iptables) pendant qq minutes pour être sûr que le problème ne
vient pas de là :

$ ssh -vvv 82.230.255.103
OpenSSH_4.2p1 Debian-6bpo1, OpenSSL 0.9.7e 25 Oct 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 82.230.255.103 [82.230.255.103] port 22.
debug1: connect to address 82.230.255.103 port 22: No route to host
ssh: connect to host 82.230.255.103 port 22: No route to host

alors que iptables activé, le message était "Connection time out" au bout de
2-3 min. Visiblement le problème est là. Ensuite


$ tcptraceroute 82.230.255.103 22
Selected device eth0, address 192.168.0.42, port 51557 for outgoing packets
Tracing the path to 82.230.255.103 on TCP port 22 (ssh), 30 hops max
1  192.168.0.1  0.495 ms  0.406 ms  0.528 ms
2  82.227.12.254  35.219 ms  36.106 ms  34.938 ms
3  213.228.23.254  41.388 ms  35.224 ms  35.510 ms
  7  ivr94-6.dslg.proxad.net (213.228.4.58)  37.657 ms  37.880 ms  37.421 ms
14  * DEDEKIND (82.230.255.103) 81.059 ms !H *


Et encore (qq minutes plus tard, après réactivation des règles iptables) :


$ nmap -P0 82.230.255.103
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-05-19 22:41 CEST
All 1663 scanned ports on DEDEKIND (82.230.255.103 ) are: filtered

Un autre soir, lorsque mon ami a fait 'nmap localhost' chez lui, il a trouvé
le port 22 ouvert.

============================

Nous avons tous les 2 les mêmes règles iptables :

#----------- REMISE à ZERO des règles de filtrage -----
iptables -F
iptables -t nat -F

#----------------- Default policy ----------------------

#connexions entrantes bloquées par défaut
iptables -P INPUT DROP

#connexions destinées à être forwardées acceptées par defaut
iptables -P FORWARD ACCEPT

#connexions sortantes acceptées ar défaut
iptables -P OUTPUT ACCEPT

#------------ DEBUT des règles de filtrage --------------

#loopback
iptables -A INPUT -i lo -j ACCEPT

#no ICMP (ping)
iptables -A INPUT -p icmp -j DROP

#established connections
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

============================

Voilà un max d'infos, j'espère que c'est lisible comme ça

ciao
Klaus

Bonjour,

Je suis peut être dans un cas particulier, mais je fais cela tous les jours sans pour autant avoir du faire quoi que ce soit sur la freebox. Je dispose d'une freebox v4 et je n'ai pas activé le mode routeur. Tous les problèmes de routage et de sécurité sont traités par mon parefeu, et cela fonctionne parfaitement.

Soit je n'ai pas compris la démarche, soit je me demande pourquoi faire simple quand on peut faire compliqué ;)

Patrice.