Duda sobre servidor ssh

La ListenAddress, no hace falta que la cambies si no tienes mas de una NIC

Y estas nateando mal los puertos...

Tiene que ser


Description: Ssh server
Inbound port: 22
Type: TCP
Private address: IP DEL PC AL QUE TE QUIERES CONECTAR
Private port: 22

saludos

Correcto, tienes que hacer NAT desde la ip pública que te da tu ISP con el puerto 22 a tu ip privada (máquina Ubuntu) al puerto 22 también.

Cuando consigas acceder desde Internet a tu host, securiza el ssh denegando el login de root. Te lo digo porque en unos días podrías ver como intentan entrar desde el exterior a tu máquina. Es decir verás muchísimos intentos de login por root y por fuerza bruta acabarán entrando. Al denegar el root login, entrarás por un usuario que hayas creado y una vez dentro podrás hacer un "su -".

Saludos

circle69 escribió:Correcto, tienes que hacer NAT desde la ip pública que te da tu ISP con el puerto 22 a tu ip privada (máquina Ubuntu) al puerto 22 también.

Cuando consigas acceder desde Internet a tu host, securiza el ssh denegando el login de root. Te lo digo porque en unos días podrías ver como intentan entrar desde el exterior a tu máquina. Es decir verás muchísimos intentos de login por root y por fuerza bruta acabarán entrando. Al denegar el root login, entrarás por un usuario que hayas creado y una vez dentro podrás hacer un "su -".

Saludos

Jeje, cierto, mejor que te mires un tutorial completo de configuracion de un server de SSH y lo securices un poquito, porque o pones medidas o al final se te cuela algun listillo.

saludos

Ya he hecho lo que me habéis dicho y sigo sin poder, intento logearme como (minombredeusuarioenlamaquina)@(miipquemedawhatismyip.com)...se os ocurre qué hago mal?

Antes de securizar el ssh, comprueba que llegas y puedes hacer login root.
Prueba a hacer un telnet desde internet a la ip pública al puerto 22 a ver si llegas.
Si no llegas, o el NAT está mal hecho o además tienes un firewall y tiene que abrir ese puerto.
Comprueba que no tengas iptables arrancada y tampaco SElinux.

Saludos

circle69 escribió:Antes de securizar el ssh, comprueba que llegas y puedes hacer login root.
Prueba a hacer un telnet desde internet a la ip pública al puerto 22 a ver si llegas.
Si no llegas, o el NAT está mal hecho o además tienes un firewall y tiene que abrir ese puerto.
Comprueba que no tengas iptables arrancada y tampaco SElinux.

Saludos

IPTables lo he comprobado y lo tengo todo desactivado, y SELinux al parecer no lo tengo en Ubuntu.

En cuanto a telnet me da lo siguiente:


La configuración de routers la hice así:

Tengo un modem Belkin al que conecte en el primer puerto del router Conceptronic el ordenador con Ubuntu(192.168.2.2 es la direccion que le da el modem Belkin). De ahí, configuré Ubuntu para que emplee la IP fija 192.168.0.101.

Primero accedí al modem Belkin en Virtual Servers puse:
ssh
inbound port: 27456
type: tcp
private address: 192.168.2.2
private port: 22

Y en el router Conceptronic en Virtual Servers puse:
ssh
private ip: 192.168.0.101 (la ip fija de ubuntu)
protocol: both
private port: 22
public port: 27456
schedule: always

Espero que esto os sirva para identificar mi problema.

Ok, pues es un tema del router. Desactiva el firewall del router y revisa el tema del NAT, para que te hagas una idea es como abrir los puertos del emule. Busca alguna guia para tu router y síguela pero poniendo el puerto 22.

Saludos

circle69 escribió:Ok, pues es un tema del router. Desactiva el firewall del router y revisa el tema del NAT, para que te hagas una idea es como abrir los puertos del emule. Busca alguna guia para tu router y síguela pero poniendo el puerto 22.

Saludos

acabo de poner arriba todo lo que he puesto, el firewall de ambos router/modem esta desactivado.

A ver si me aclaro, cuántas redes tienes? Usas vlans?

Si no es así, debes elegir una red a usar, o la 192.168.2.0/24 o la 192.168.0.0/24. A no ser que quieras usar vlans y entonces habrá que ver quién hace de router entre vlans.

yo creo que para no liarse mucho, puedes usar una única vlan. El modem belkin puede hacer de default gateway para tu red, y el conceptronic que haga sólo de switch.

Entonces de esta manera, desactivas el dhcp y el nat en conceptronic, y esto mismo servicios los activas en el Belkin.

Configuras en el Belkin el NAT, haciendo 95.17.146.XXX port 22 --> nat --> 192.168.2.2 port 22 (Ubuntu).
Luego más adelante puedes hacer un nat más sofísticado haciendo 95.17.146.XXX port xxxxx --> nat --> 192.168.2.2 port 22, donde xxxxx es un puerto que tu eliges para acceder desde internet y qeu luego el Belkin lo traducirá hacia tu red al puerto 22.

Saludos

circle69 escribió:A ver si me aclaro, cuántas redes tienes? Usas vlans?

Si no es así, debes elegir una red a usar, o la 192.168.2.0/24 o la 192.168.0.0/24. A no ser que quieras usar vlans y entonces habrá que ver quién hace de router entre vlans.

yo creo que para no liarse mucho, puedes usar una única vlan. El modem belkin puede hacer de default gateway para tu red, y el conceptronic que haga sólo de switch.

Entonces de esta manera, desactivas el dhcp y el nat en conceptronic, y esto mismo servicios los activas en el Belkin.

Configuras en el Belkin el NAT, haciendo 95.17.146.XXX port 22 --> nat --> 192.168.2.2 port 22 (Ubuntu).
Luego más adelante puedes hacer un nat más sofísticado haciendo 95.17.146.XXX port xxxxx --> nat --> 192.168.2.2 port 22, donde xxxxx es un puerto que tu eliges para acceder desde internet y qeu luego el Belkin lo traducirá hacia tu red al puerto 22.

Saludos

Bien, creo que ya voy entendiendo.

En el conceptronic daba la opcion de ponerlo en Router o Switch mode. Lo he puesto en switch mode.
Al hacer esto, he tenido que reconfigurar la IP fija de ubuntu, quedándose en: 192.168.2.11

Acto seguido he ido al modem Belkin.
Virtual servers: ssh de 192.168.2.11 puerto privado 22, y de inbound port el 27456.

Además, le he dado a DMZ, opcion que antes no habia usado, y he puesto:
Static IP Private IP Enable
1 95....(ip externa) 192.168.2.11 (tick puesto)

Y aún así no me deja acceder :S

El tema que dices de DMZ no tienes que activarlo, es más, lo tienes que desactivar.
Ahora lo que tienes que hacer es ponerlo todo en la misma red, lo fácil es que le des a Ubuntu un IP de la red a la que pertenezca el Belkin. Pones en Ubuntu al Belkin como default gateway.

Por todo lo que me estás contando, diría que ahora mismo con la máquina Ubuntu no sales a internet, correcto?

smartbox escribió:Bien, creo que ya voy entendiendo.

En el conceptronic daba la opcion de ponerlo en Router o Switch mode. Lo he puesto en switch mode.
Al hacer esto, he tenido que reconfigurar la IP fija de ubuntu, quedándose en: 192.168.2.11

Acto seguido he ido al modem Belkin.
Virtual servers: ssh de 192.168.2.11 puerto privado 22, y de inbound port el 27456.

Además, le he dado a DMZ, opcion que antes no habia usado, y he puesto:
Static IP Private IP Enable
1 95....(ip externa) 192.168.2.11 (tick puesto)

Y aún así no me deja acceder :S

Podías poner alguna capturilla de pantalla de la config del router, pero desde fuera a qué puerto te conectas? por lo de "inbound port" diría que tendrías que conectarte al puerto 27456 (ssh -p 27456 usuario@ip_publica_router). Por eso los telnets no te iban, prueba telnet ip_router 27456.

tMK tiene razón, se me ha olvidado comentártelo

Ya he desactivado lo del DMZ. En cuanto a capturas aquí teneis:
http://img141.imageshack.us/f/pantallazozo.png/
http://img691.imageshack.us/f/pantallazo1tx.png/

Este tema ya me desespera xD

En cuanto al telnet:

Desde internet tienes que hacer un telnet a 95.17.146.248 puerto 27456, y desde casa un telnet 192.168.2.11 puerto 22.

Seguro que tienes el firewall del belkin desactivado? por lo que veo la configuración del NAT en el Belkin está en el apartado de firewall, a lo mejor necesita estar activado sí o sí y entonces tienes que abrir el puerto también en el firewall del equipo. En tu caso sería el 27456.

Saludos

circle69 escribió:Desde internet tienes que hacer un telnet a 95.17.146.248 puerto 27456, y desde casa un telnet 192.168.2.11 puerto 22.

Seguro que tienes el firewall del belkin desactivado? por lo que veo la configuración del NAT en el Belkin está en el apartado de firewall, a lo mejor necesita estar activado sí o sí y entonces tienes que abrir el puerto también en el firewall del equipo. En tu caso sería el 27456.

Saludos

En cuanto a Telnet:


Desde el 3g de mi móvil android he hecho el telnet externo y no se conecta...con que configuracion abro el puerto ese entonces?

Puedes poner un pantallazo de las pantallas de configuración del firewall y de las del NAT.
Puedes poner el modelo del Belkin?

No sé cómo va Ubuntu en este aspecto pero quizá tengas que modificar /etc/hosts.allow y /etc/hosts.deny

Joer no puede ser tan complicado, nunca has abierto los puertos para el emule/torrent/live? Es exactamente lo mismo...

Hace un par de semanas monté en casa eso mismo que estás intentando hacer tu, por partes ¿Porque no empiezas por simplificar un poco el asunto?
- Hacer NAT dos veces es un cipote de dos pares de cojones y mas con equipos "de baratillo", porque no montas el modem como monopuesto y de aquí al puerto WAN del el router y que el que levante el la conexión ADSL ¿o no tiene PPPoE?
- A partir de aquí con el firewall del router Conceptronic activado, montas la regla name SSH from port 27456 to port 22 ip 192.168.0.101 protocol TCP/UDP.
- En el archivo /etc/ssh/sshd_config lo único que has de cambiar es por precaución el puerto aunque con la regla anterior no haría falta, LoginGraceTime bajarlo a 30 o así por precaución y PermitRootLogin no también por precaución.
Con esto funciona fijo.

Por otro lado donde te estás liando, al hacer NAT dos veces y basandome en lo que nos dices, tienes una ip WAN - IP LOCAL BELKIN - WAN CON IP LOCAL CONCEPTRONIC - LAN CONCEPTRONIC, esto:
IP PUBLICA - IP LOCAL BELKIN - IP CONCEPTRONIC WAN - IP UBUNTU
99.99.99.99 - 192.168.2.1 - 192.168.2.2 - 192.168.0.101

Por lo tanto la regla que deberías tener en el Belkin es:
SSH from port 27456 to port 22 ip 192.168.2.2 protocol TCP/UDP
Y en el Conceptronic:
SSH from port 22 to port 22 ip 192.168.2.101 protocol TCP/UDP

Basandonos en esto:

Primero accedí al modem Belkin en Virtual Servers puse:
ssh
inbound port: 27456
type: tcp
private address: 192.168.2.2
private port: 22

Y en el router Conceptronic en Virtual Servers puse:
ssh
private ip: 192.168.0.101 (la ip fija de ubuntu)
protocol: both
private port: 22
public port: 27456
schedule: always

circle69 escribió:Puedes poner un pantallazo de las pantallas de configuración del firewall y de las del NAT.
Puedes poner el modelo del Belkin?

Pues el modelo de Belkin es este http://www.belkin.com/IWCatProductPage. ... _Id=480896

En cuanto a las capturas que has solicitado aquí las tienes:
http://img715.imageshack.us/f/capturade ... 102yw.png/
http://img23.imageshack.us/f/capturadep ... 1102t.png/

Y no, la verdad es que nunca he usado eMule, y en cuanto a Bittorrent únicamente lo he empleado para descarga de distribuciones linux casi, así que no me fue necesario abrir puertos en estos casos.

En cuanto a R064N, tengo que decir que ya no tengo ambos en plan router, a sugerencia anterior en este post, he puesto el conceptronic como switch, así que sólo accedo al Belkin, del cual veis las capturas.

smartbox escribió:

circle69 escribió:Puedes poner un pantallazo de las pantallas de configuración del firewall y de las del NAT.
Puedes poner el modelo del Belkin?

Pues el modelo de Belkin es este http://www.belkin.com/IWCatProductPage. ... _Id=480896

En cuanto a las capturas que has solicitado aquí las tienes:
http://img715.imageshack.us/f/capturade ... 102yw.png/
http://img23.imageshack.us/f/capturadep ... 1102t.png/

Y no, la verdad es que nunca he usado eMule, y en cuanto a Bittorrent únicamente lo he empleado para descarga de distribuciones linux casi, así que no me fue necesario abrir puertos en estos casos.

En cuanto a R064N, tengo que decir que ya no tengo ambos en plan router, a sugerencia anterior en este post, he puesto el conceptronic como switch, así que sólo accedo al Belkin, del cual veis las capturas.

Ok, el firewall no hace falta que lo deshabilites, las reglas están bien único cambia el TYPE a TCP y UDP, o si no puedes crea otras reglas iguales para redireccionar UDP también. Revisa en el router que no exista alguna sección donde el router limite o restrinja el paso de VPNs.

Has conseguido alguna vez redireccionar algun puerto desde fuera, aunque sea para probar, un apache, vnc, ftp, algo? No vaya a ser que ese router necesite alguna actualización.

el puerto exterior puede ser el que quiera .... para eso esta el NAT ...