Inter Projekt
 
www.InterProjekt.pl  
Teraz jest 22 sierpnia 2017, godz. 20:45

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 4 ] 
Autor Wiadomość
 Tytuł: blokowanie SSH na wyjsciu + skrypt
PostNapisane: 30 listopada 2011, godz. 23:55 
Offline

Dołączył(a): 5 maja 2011, godz. 10:20
Posty: 5
Witam
Mam dwa problemy i może któryś z Was będzie w stanie mi pomóc.
pierwszy z nich to mój rb1200 który służy za główny router (brama) nie wypuszcza połączeń ssh tzn z zewnątrz mogę się zalogować do rb1200 czy innego komputera w sieci wewnętrznej za NATem jeśli oczywiście przekieruje port ale problem pojawia się gdy chce połączyć się z jakimkolwiek serwerem ssh w internecie, inaczej mówiąc RB1200 wpuszcza połączenia ssh do siebie i do wewnątrz sieci ale nie chce wypuszczać połączeń ssh na zewnątrz z komputerów z sieci lokalnej. Nawet jeśli zaloguje się do MT to z terminala tez nie mogę przez ssh zalogować się do innego serwera ssh w świecie. Ogólnie bardzo dziwne i uciążliwe. Wygląda to tak jakby maskarada blokowała port 22 na wyjściu. Dodam ze w zakładce firewall nie mam żadnych reguł dodanych z tym związanych.

Drugi problem to skrypt, a dokładniej mam w sieci serwer z baza i kilkoma innymi rozwiązaniami, który używany jest w godzinach pracy czyli 8-17 po tej godzinie nikt z niego nie korzysta nawet zdalnie, więc nie ma potrzeby by działał (redukcja kosztów za prąd a jest to dość mocna maszyna), czasami zdarzy się, że ktoś jest z 30min dłużej czy godzinkę i chciałem by serwer ten wyłączał i włączał się automatycznie o określonej ustawionej godzinie. Na serwerze działa kilka maszyn wirtualnych na VMware i jedyną opcją by wszystko zamknęło się poprawnie jest zamkniecie vmware poprzez wysłanie przez ssh odpowiedniego polecenia, w tej chwili robi to jeden z komputerów w sieci ale nie na tym ma to polegać. Całą dobę chodzi natomiast wspomniany rb1200 który, z tego co wiem ma możliwość wykonywania skryptów i tak np w terminalu poprzez /system ssh 192.168.1.7 user=admin mogę się zalogować z tym ze po tej komendzie muszę ręcznie wpisać hasło.
teraz pytanie czy jest jakaś komenda bądź skrypt z całkiem innym poleceniem który automatycznie będzie wpisywał nazwę użytkownika i hasło połączenia ssh a po tym komendę do wykonania przez VMware??

Za wszelką pomoc z góry wielkie dzięki


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: blokowanie SSH na wyjsciu + skrypt
PostNapisane: 21 grudnia 2011, godz. 17:33 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Cytuj:
Mam dwa problemy i może któryś z Was będzie w stanie mi pomóc.
pierwszy z nich to mój rb1200 który służy za główny router (brama) nie wypuszcza połączeń ssh tzn z zewnątrz mogę się zalogować do rb1200 czy innego komputera w sieci wewnętrznej za NATem ...


Po mojemy masz coś skopane w filtrach/nacie. Możesz podesłać wyniki:
Kod:
/ip firewall filter print
/ip firewall nat print


Cytuj:
Drugi problem to skrypt, a dokładniej mam w sieci serwer z baza i kilkoma innymi rozwiązaniami, który używany jest w godzinach pracy czyli 8-17 po tej godzinie nikt z niego nie korzysta nawet zdalnie, więc nie ma potrzeby by działał (redukcja kosztów za prąd a jest to dość mocna maszyna), czasami zdarzy się, że ktoś jest z 30min dłużej czy godzinkę i chciałem by serwer ten wyłączał i włączał się automatycznie o określonej ustawionej godzinie. Na serwerze działa kilka maszyn wirtualnych na VMware i jedyną opcją by wszystko zamknęło się poprawnie jest zamkniecie vmware poprzez wysłanie przez ssh odpowiedniego polecenia, w tej chwili robi to jeden z komputerów w sieci ale nie na tym ma to polegać. Całą dobę chodzi natomiast wspomniany rb1200 który, z tego co wiem ma możliwość wykonywania skryptów i tak np w terminalu poprzez /system ssh 192.168.1.7 user=admin mogę się zalogować z tym ze po tej komendzie muszę ręcznie wpisać hasło.
teraz pytanie czy jest jakaś komenda bądź skrypt z całkiem innym poleceniem który automatycznie będzie wpisywał nazwę użytkownika i hasło połączenia ssh a po tym komendę do wykonania przez VMware??


Wygeneruj parę kluczy ssh na komputerze. Wyślij klucz prywatny na router i zaimportuj go:
Kod:
/user ssh-keys private import user=<nazwa uzytkownika> private-key-file=


A klucz publiczny wklej do pliku ~/.ssh/authorized_keys (tak to przynajmniej u mnie wyglada). Od tego momentu jeśli w
Kod:
/system ssh
podasz nazwę użytkownika przypisana do klucza zalogujesz się automatycznie.

pozdrawiam


Góra
 Zobacz profil  
 
 Tytuł: Re: blokowanie SSH na wyjsciu + skrypt
PostNapisane: 19 sierpnia 2012, godz. 23:19 
Offline

Dołączył(a): 5 maja 2011, godz. 10:20
Posty: 5
Witam po długiej przerwie
Tema czasowo ucichł ale teraz wraca ponownie.
Dokładnie wraca temat połączeń ssh
Sprawa wygląda w ten sposób ze wszystkie połączenia ssh wychodzą poza tym na porcie 22
Mam w domu router rb750 i na nim sprawa wygląda identycznie.
Jeśli chce się połączyć z domu z routerem w pracy a w nim /IP->Services ustawie ssh na port inny niz 22 to bez problemu się połączę ale jeśli zostawimy domyślnie 22 to już domowy mikrotik nie przepuszcza tego połączenia. Identyczna sprawa wygląda na rb1200 w pracy wszystkie połączenia przepuszcza tylko blokuje port 22. Koniecznie muszę z pracy łączyć się przez ssh na porcie 22 z serwerem poza pracą bo nie mam możliwości przestawienia tego portu i za nic nie przepuszcza tego połączenia. Gdyby w domu na rb750 było inaczej to pomyślałbym ze w ustawieniach w pracy mam coś skopane ale oba zachowują się identycznie wiec to jaki problem w oprogramowaniu mikrotika. Co ciekawe w sieci wewnętrznej po lanie moge sie połączyć z MT na porcie 22 bez problemu.
poniżej wpisy w firewall'a z rb1200 w pracy.

Kod:
/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; sped
     chain=forward action=passthrough src-address=89.231.x.x/30
     in-interface=eth2_net out-interface=eth1_WAN
1   ;;; acro
     chain=forward action=passthrough src-address=89.231.x.x/29
     in-interface=eth2_net out-interface=eth1_WAN
2   ;;; net_zew
     chain=forward action=passthrough src-address=89.231.x.x/28
     in-interface=eth2_net out-interface=eth1_WAN
3   ;;; au
     chain=forward action=passthrough src-address=89.231.x.x/29
     in-interface=eth2_net out-interface=eth1_WAN
4   ;;; weg
     chain=forward action=passthrough src-address=89.231.x.x/29
     in-interface=ether10 out-interface=eth1_WAN

oraz
Kod:
/ip firewall nat print     
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=eth1_WAN

1   chain=dstnat action=dst-nat to-addresses=192.168.1.244 to-ports=80
     protocol=tcp dst-address=89.228.x.x in-interface=eth1_WAN dst-port=85

2   chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=8300
     protocol=tcp dst-address=89.228.x.x in-interface=eth1_WAN dst-port=8300


dla wyjaśnienia mam całą pulę zewnętrznych adresów 89.231.x.x
i główny adres bramy 89.228.x.x

będę wdzięczny za wszelką pomoc z tym portem 22


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: blokowanie SSH na wyjsciu + skrypt
PostNapisane: 7 września 2012, godz. 11:18 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Cytuj:
/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; sped
chain=forward action=passthrough src-address=89.231.x.x/30
in-interface=eth2_net out-interface=eth1_WAN
1 ;;; acro
chain=forward action=passthrough src-address=89.231.x.x/29
in-interface=eth2_net out-interface=eth1_WAN
2 ;;; net_zew
chain=forward action=passthrough src-address=89.231.x.x/28
in-interface=eth2_net out-interface=eth1_WAN
3 ;;; au
chain=forward action=passthrough src-address=89.231.x.x/29
in-interface=eth2_net out-interface=eth1_WAN
4 ;;; weg
chain=forward action=passthrough src-address=89.231.x.x/29
in-interface=ether10 out-interface=eth1_WAN


to robi dokładnie nic... jaki miał być cel tych reguł?

Generalnie nie widzę tu nic złego, ale jeżeli problem jest na "domowym" mikrotiku to raczej widziałbym tu konfig z "domowego"

Cytuj:
0 chain=srcnat action=masquerade out-interface=eth1_WAN



Jeszcze uwaga - ta reguła maskaraduje wszystko co wychodzi przez eth1_WAN jego adresem - w szczególności 89.231.x.x

pozdrawiam


Góra
 Zobacz profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 4 ] 

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]


Kto przegląda forum

Użytkownicy przeglądający to forum: Brak zalogowanych użytkowników i 0 gości


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Publikowane wiadomości są prywatnymi opiniami użytkowników forum. Inter Projekt S.A. nie ponosi odpowiedzialności za treść wiadomości.
Informacje o cookies