Problème de connexion SSH ... [RESOLU] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-07-2003 à 17:43:49
optical a écrit : slt, j'ai installé un serveur ssh sur ma machine via apt-get et il fonctionne très bien en local (de ma machine vers ma machine) par contre lorsque j'essaie de me connecter à distance avec mon ip j'ai l'erreur connection time out ! Ma distribution a debian woody et je n'ai rien configuré de plus, c'est une toute nouvelle installation, je n'ai pas touché au firewall, etc. |
Alut,
un petit :
Code :
|
Stp
Marsh Posté le 19-07-2003 à 23:08:09
Salut, merci pour ta réponse. Voici le résultat de la commande. Peux tu m'expliquer un peu que fait celle-ci merci.
|
Marsh Posté le 19-07-2003 à 23:22:05
optical a écrit : Salut, merci pour ta réponse. Voici le résultat de la commande. Peux tu m'expliquer un peu que fait celle-ci merci.
|
Eurf man netstat
Non je deconne
Cette commande petmet de voir toutes les connection reseau qui sont ouvert sur ta machine.
Par exemple la ligne avec ssh LISTEN veux dire qu'il y a bien un programme qui ecoute sur le port ssh (22) une connection sur n'importe quel interface et de n'importe quel hote. En faite le programme est blockier dans la fonction listen (man 2 listen )
Voila
Bon en tout ca ca veux dire que ton deamon sshd marche tres bien.
Tu as essayer de te connecter d'ou?
Marsh Posté le 20-07-2003 à 00:52:41
Merci pour ton explication, j'avais un peu lu le man mais ctait du chinoi pour moi
Ben je me connecte a partir d'une machine de l'extérieur dans une bibliothèque. Je ne connais pas très bien le fonctionnement du reseau à cet endroit mais je peux te dire que j'arrive très bien à me connecter sur d'autres machines en ssh.
Marsh Posté le 20-07-2003 à 01:01:02
En fait, corrige moi si je me trompe, tu veux dire que sshd qui est un processus à fait un appel système listen et que le noyau la mis automatiquement en sleep car il n'y avait rien à lire sur le port 22 ? Dès que qqch arrive le noyau reveille le processus et celui-ci peux lire et se remettre en running ?
CSCMEUH a écrit : |
Je suppose que ca représente 2 astérisques (*) et la 3è c pourquoi ? Désolé je suis pas sous linux en ce moment pour lire le man
Marsh Posté le 21-07-2003 à 12:06:26
tu as dû paramétrer à un moment donné le niveau de sécurité, en fait tu ne peux pas te connecter de l'extérieur car ton firewall bloque l'accès, il faut donc ouvrir le port avec iptables ou ipchains selon ton noyau (respectivement 2.4 ou 2.2) et selon ton install...
edit : ou autre cas, c'est au niveau des shells que c'est verrouillé
Marsh Posté le 21-07-2003 à 16:33:43
Merci pour ta réponse.
Je ne me rappelle pas avoir configurer le niveau de sécurité. En fait c'est une installation de debian woody toute "fraiche".
Je suis un tout nouveau utilisateur de Linux et je ne sais pas si le firewall est un processus ou fait partie du noyau.
En tout cas lorsque je tape ps je ne vois pas de processus iptables ni ipchains ... Par contre dpkg -l | grep iptables ipchains me montre qu'il sont installé.
Sinon, au niveau du sheel, que veux tu dire ? J'utilise le bash par defaut de la debian woody.
Merci pour ton aide
Marsh Posté le 21-07-2003 à 16:37:54
regarde déjà en faisant un :
iptables -L -n
si c'est vide c'est que tu n'as pas de règle de filtrage
si tu as une erreur "incompatible with this kernel", il faut faire :
ipchains -L -n
idem si c'est vide
après on regardera au niveau des fichiers de conf
Marsh Posté le 21-07-2003 à 16:44:42
BMOTheKiller a écrit : regarde déjà en faisant un : |
|
Donc, pas de firewall ... ? Je me suis dis que ça venait peux-être de la configuration de mon serveur ssh. C'est la configuration par défaut.
|
Marsh Posté le 21-07-2003 à 16:49:50
Au fait, question hors-sujet mais je vois la ligne X11Forwarding. Est-ce que c'est ce qui permet de tapper ssh -X que j'ai vu dans le man de ssh ? Est-ce que ca fonctionne bien avec une ligne ADSL ?
Marsh Posté le 21-07-2003 à 17:02:28
montre voir ce que donne ton /etc/pam.d/sshd
sinon pour le X11 forwarding tu n'as même pas besoin de mettre -X, en lançant une applie X directement ça doit passer si bien sûr de l'autre côté tu as un serveur X sur le client.... ça fonctionne pas trop mal, ma seule expérience du X11forwarding à distance se limite à faire transiter par 2 passerelle une connexion en vnc sur une machine win (client linux ssh --> passerelle linux --> net --> ma passerelle ssh --> vnc --> win), là ça ramait un peu par contre quand l'écran était complètement rafraichi par vnc
Marsh Posté le 21-07-2003 à 17:13:13
optical a écrit : Au fait, question hors-sujet mais je vois la ligne X11Forwarding. Est-ce que c'est ce qui permet de tapper ssh -X que j'ai vu dans le man de ssh ? Est-ce que ca fonctionne bien avec une ligne ADSL ? |
Ca fonctione tres bien en sur un reseau local. Mais c'est pas super rapide si tu passe par le net. C'etait pas prevu a la base pour passer par le net. Contrairement a RDP. Mais tu peux utiliser des entension du serveur X comme LBX qui permetent de compresser les packets X11. Et ca marche plustot pas mal .
Pour revenir au sujet initial.
Tu peux donc te connecter en local.
Ton deamon sshd ecoute bien sur le port 22.
Le fichier sshd_config est ok.
Perso je pense que ca viens de l'autre machine de laquel tu t'est connecter. Tu est sur k'elle n'etait pas deriere un firewall?
Marsh Posté le 21-07-2003 à 17:30:36
Moi aussi j'ai eu ce genre de problème.
Je me souviens vaguement d'une ruse avec les fichiers
/etc/hosts.allow
/etc/hosts.deny
ou alors leurs équivalents pour les utilisateurs...
En tout cas, mon problème c'était que la connexion en root était impossible...
Marsh Posté le 21-07-2003 à 17:34:05
BMOTheKiller a écrit : montre voir ce que donne ton /etc/pam.d/sshd |
|
Ben je ne sais pas si un firewall est derrière la machine cliente. Oui probablement car c'est dans une université et il dois y avoir un minimum de sécurité je pense. Mais bon, je pense qu'il est configuré pour laisser passer les connexions ssh car je peux te dire que j'arrive sans problèmes à me connecter sur d'autres machines extérieures dont une des miennes (pas la meme ip que celle qui à un problème) qui est aussi sous un Linux avec Debian Woody (pratiquement la meme installation).
Tiens au fait est-ce que je peux le voir de chez moi si c'est la machine cliente qui pose problème ? J'ai un accès ssh dessus. j'ai essayé ipchains et iptables mais la commande est inexistante. C'est un Unix SunOS.
Marsh Posté le 21-07-2003 à 17:35:02
Gertom a écrit : Moi aussi j'ai eu ce genre de problème. |
Pour la connexion en root c'était configurable dans le fichier /etc/ssh/sshd_config.
Exusez moi mais j'ai encore une question hors-sujet mais sur SunOS comment fait ton pour avoir la dernière commande que l'on a tapé ? Lorsque je fait HAUT dans le shell il s'inscrit "^[[A" ?
Marsh Posté le 21-07-2003 à 18:02:24
optical a écrit : |
Eurf
C;est comme sur tout les shell UNIX du monde
Code :
|
Marsh Posté le 21-07-2003 à 19:52:05
Beuuhh ca ne marche po. 2 fois le point d'exclamation ? Et puis ?
D'ailleurs la touche TAB non plus. Enfin ca fait une espace de tabulation mais ca ne complète rien ... Le shell c'est "sh".
J'ai essayé depuis chez un copain où je suis "sur" que rien ne perturbe la connexion ssh et on est pas arrivé à se connecter donc le problème vient bien de ma machine .... (en tout cas ca me semble le plus probable).
Marsh Posté le 21-07-2003 à 23:31:38
optical a écrit : Beuuhh ca ne marche po. 2 fois le point d'exclamation ? Et puis ? |
Ah pardon je penser que tu voulez executer la derniere commande taper.
Comme ton shell c'est sh chande de shell et prend un truc plus user friendly : bash, tcsh, zsh.
Marsh Posté le 23-07-2003 à 13:22:01
CSCMEUH a écrit : |
Oui oui enfin l'équivalent de la touche "HAUT" dans bash ... Merci beaucoup je ne savais pas que "!!" existait.
J'ai remarqué qu'il y avait un demon inted sur ma machine. Est-ce que ca peux venir de là ?
Marsh Posté le 23-07-2003 à 15:22:15
J'ai fait un kill sur inetd et la connexion ne se fait pas ... apparement c'était pas ça non plus ...
Marsh Posté le 23-07-2003 à 17:09:05
t'as essayé en local ?
ssh 127.0.0.1
si tu n'arrives pas à te connecter comme ça, ben doit y avoir un souci
Marsh Posté le 23-07-2003 à 18:20:01
Oui ca fonctionne très bien comme ca. De meme :
-ssh mon_ip
-ssh mon_host_name
-ssh localhost
Marsh Posté le 24-07-2003 à 09:52:04
jy comprend rien, vous n'avez pas une idée d'un processus à tuer pour tester ?
|
Marsh Posté le 29-07-2003 à 01:28:20
Salut.
A tout hasard tu a essayé de pinger ta machine serveur ssh depuis le client ?
Marsh Posté le 29-07-2003 à 02:09:26
data jim a écrit : Salut. |
Salut.
Oui oui. Et j'ai du 0% Loss Packet Je suis "certain" de l'adresse ip, c'est celle que je vois lorsque je fait ifconfig. Je n'ai qu'une seule interface eth0 donc ya pas de confusion possible.
Marsh Posté le 03-08-2003 à 01:56:02
J'ai trouvé !!
C'était le FAI qui bloquait les ports en dessous de 1000.
J'ai donc essayé à partir de 1001 et ça fonctionne.
Etonnant qu'ils fassent ça quand même ...
Marsh Posté le 03-08-2003 à 09:40:10
optical a écrit : J'ai trouvé !! |
C'est quoi ton FIA de m...
En plus c'est stupide car tu ne peux presque pas installer de serveur standard (ftp, http, smtp etc ...).
De plus il faut qui le demon tourne encore en root car le il reste la plage des ports entre 1001 et 1024.
Bizzard ton FIA
Marsh Posté le 03-08-2003 à 10:21:39
CSCMEUH a écrit : |
Apparement c'est fréquent en Belgique pour certains FAI du cable ... UPC pour ma part. Je crois que Brutele aussi.
Marsh Posté le 03-08-2003 à 10:35:04
optical a écrit : |
Ah UPC alias Chello... Mon premier cable operateur...
Que du bonheur ...
Marsh Posté le 03-08-2003 à 10:40:50
CSCMEUH a écrit : |
Ah ya aussi de la censure en france ? Il parait que chez Skynet il y a aussi un port de bloqué mais je sais plus lequel ... C'est comment chez vous ?
CSCMEUH a écrit : |
Je ne comprend pas le problème.
Sinon, je suis daccord avec toi pour les serveurs standard, c'est très chiant car on doit spécifier le port explicitement. Imagine le bordel pour un serveur de mail ...
Marsh Posté le 03-08-2003 à 10:49:56
optical a écrit : |
En faite je ne serais pas te le dire car j'ai resillier mon abonnment chez eux au bout de 6 mois. A cause de nombreux problemes "techniques". En tout cas lorsque je vois le nom de leur boite sur une brochure je fuis
Pour le probleme de port c'est simple :
Seul l'utilisateur root peut lancer un deamon avec un port < 1024, puisque seul root a le droit de binder des ports
inferieurs a 1024. Donc tu peux lancer encore 23 deamon a root sur ta machine.
Voila et bon ssh
Marsh Posté le 19-07-2003 à 17:14:07
slt, j'ai installé un serveur ssh sur ma machine via apt-get et il fonctionne très bien en local (de ma machine vers ma machine) par contre lorsque j'essaie de me connecter à distance avec mon ip j'ai l'erreur connection time out ! Ma distribution a debian woody et je n'ai rien configuré de plus, c'est une toute nouvelle installation, je n'ai pas touché au firewall, etc.
ps | grep ssh me donne :
root 389 0.0 0.3 2788 204 ? S 12:47 0:00 /usr/sbin/sshd
cel 463 0.0 0.2 2236 184 ? S 12:48 0:00 /usr/bin/ssh-agent /usr/bin/kde3
merci
Message édité par optical le 03-08-2003 à 01:54:02