Ssh an Frank

Fritz_5a674b · 8. November 2019 um 11:02

Hi Frank. Ich mal einen neuen Thread auf zu meinem Problem, da ich ihn sonst nicht mehr wieder finde.

Hier die Ausgaben von
~ $ netstat -lnt
~ # iptables-save

fritz@Saugetier:~> netstat -lnt
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 81.173.153.46:53 0.0.0.0:* LISTEN
tcp 0 0 192.168.2.1:53 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:7741 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN

iptables-save

Generated by iptables-save v1.2.5 on Sat Aug 7 09:19:03 2004

*nat

PREROUTING ACCEPT [329626:16372715]
POSTROUTING ACCEPT [2036:239944]
OUTPUT ACCEPT [2036:239944]

-A PREROUTING -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A PREROUTING -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A PREROUTING -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A PREROUTING -s 127.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o ppp0 -j MASQUERADE
COMMIT

Completed on Sat Aug 7 09:19:03 2004

Generated by iptables-save v1.2.5 on Sat Aug 7 09:19:03 2004

*filter

INPUT ACCEPT [7016:944652]
FORWARD ACCEPT [4139983:2258609117]
OUTPUT ACCEPT [4646:671373]

-A INPUT -m unclean -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A INPUT -s 127.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i ppp0 -m state --state INVALID,NEW -j LOG
-A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-t
o-pmtu
-A FORWARD -m unclean -j DROP
-A FORWARD -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP
-A FORWARD -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A FORWARD -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP
-A FORWARD -s 127.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A FORWARD -d 192.168.0.0/255.255.0.0 -i ppp0 -j ACCEPT
-A FORWARD -i ppp0 -m state --state INVALID,NEW -j LOG
-A FORWARD -i ppp0 -m state --state INVALID,NEW -j DROP
COMMIT

Completed on Sat Aug 7 09:19:03 2004

Ach ja: Die Suse Firewall läuft bei mir nicht. Stattdessen so ein Script von http://linuxrouter.minots.net/routing.html

Gruss Fritz

Der_Frank_176821 · 8. November 2019 um 11:02

Hi Frank.

Hallo,

wenn Du mir persoenlich schreiben willst: ich bin ziemlich gut per mail zu erreichen. Falls Du Dich ans Forum wendest ist die Anrede da oben irgendwie unpassend.

Hier die Ausgaben von
~ $ netstat -lnt
~ # iptables-save

PRE-tags sind cool.

> fritz@Saugetier:~\> netstat -lnt  
> Aktive Internetverbindungen (Nur Server)  
> Proto Recv-Q Send-Q Local Address Foreign Address State  
> tcp 0 0 <u>0.0.0.0:139</u> 0.0.0.0:\* LISTEN  
> tcp 0 0 <u>0.0.0.0:111</u> 0.0.0.0:\* LISTEN  
> tcp 0 0 <u>0.0.0.0:6000</u> 0.0.0.0:\* LISTEN  
> tcp 0 0 <u>81.173.153.46:53</u> 0.0.0.0:\* LISTEN  
> tcp 0 0 192.168.2.1:53 0.0.0.0:\* LISTEN  
> tcp 0 0 192.168.1.1:53 0.0.0.0:\* LISTEN  
> tcp 0 0 127.0.0.1:53 0.0.0.0:\* LISTEN  
> tcp 0 0 127.0.0.1:25 0.0.0.0:\* LISTEN  
> tcp 0 0 <u>0.0.0.0:7741</u> 0.0.0.0:\* LISTEN  
> tcp 0 0 :::22 :::\* LISTEN

Ich hab mal die Dinge, die ich fuer merkwuerdig halte, unterstrichen. Ein Rechner, der ‚Saugetier‘ (BTW: case sensitive hostnames sind auch boese) heisst klingt nicht danach, als solle er NETBIOS, NFS und DNS ins oeffentliche Netz anbieten (YMMV). Ganz unten ist Dein ssh-server.

> # iptables-save  
> # Generated by iptables-save v1.2.5 on Sat Aug 7 09:19:03 2004  
> \*nat  
> 
> > PREROUTING ACCEPT [329626:16372715]  
> > POSTROUTING ACCEPT [2036:239944]  
> > OUTPUT ACCEPT [2036:239944]
> 
> -A PREROUTING -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP  
> -A PREROUTING -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP  
> -A PREROUTING -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP  
> -A PREROUTING -s 127.0.0.0/255.0.0.0 -i ppp0 -j DROP

Oergs. Filtern in -t nat ist boese. Mach’s weg.

> -A POSTROUTING -s 192.168.0.0/255.255.0.0 -o ppp0 -j MASQUERADE  
> COMMIT  
> # Completed on Sat Aug 7 09:19:03 2004  
> # Generated by iptables-save v1.2.5 on Sat Aug 7 09:19:03 2004  
> \*filter  
> 
> > INPUT ACCEPT [7016:944652]  
> > FORWARD ACCEPT [4139983:2258609117]  
> > OUTPUT ACCEPT [4646:671373]
> 
> -A INPUT -m unclean -j DROP  
> -A INPUT -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP  
> -A INPUT -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP  
> -A INPUT -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP  
> -A INPUT -s 127.0.0.0/255.0.0.0 -i ppp0 -j DROP

Nochmal? Na, hier ist es wenigstens richtig aufgehoben.

> -A INPUT -i ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT  
> -A INPUT -i ppp0 -m state --state INVALID,NEW -j LOG  
> -A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP  
> -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu  
> -A FORWARD -m unclean -j DROP  
> -A FORWARD -s 192.168.0.0/255.255.0.0 -i ppp0 -j DROP  
> -A FORWARD -s 10.0.0.0/255.0.0.0 -i ppp0 -j DROP  
> -A FORWARD -s 172.16.0.0/255.240.0.0 -i ppp0 -j DROP  
> -A FORWARD -s 127.0.0.0/255.0.0.0 -i ppp0 -j DROP  
> -A FORWARD -d 192.168.0.0/255.255.0.0 -i ppp0 -j ACCEPT

Hier auch.

> -A FORWARD -i ppp0 -m state --state INVALID,NEW -j LOG  
> -A FORWARD -i ppp0 -m state --state INVALID,NEW -j DROP  
> COMMIT  
> # Completed on Sat Aug 7 09:19:03 2004

Ach ja: Die Suse Firewall läuft bei mir nicht. Stattdessen so
ein Script von http://linuxrouter.minots.net/routing.html

Hm, ist ziemlicher Muell.[1] Ich sehe aber nicht, dass es daran liegen kann. Mach es trotzdem mal weg und trage ein -j LOG ganz oben in die INPUT ein:

 # iptables -F
 # iptables -t nat -F
 # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
 # iptables -A INPUT -p tcp -m state --state NEW \
 \> --sport 1024:65535 --dport 22 -j LOG --log-prefix='new incoming ssh-connection: '

Dann versuche ssh von einer anderen box auf die Kiste und sieh, ob’s funktioniert oder zumindest in den logfiles die Verbindung registriert wuerde.

Ist 81.173.153.46 Dein Rechner? Der scheint gerade unten zu sein. Wie sieht Dein Vertrag mit netcologne aus? Es gibt so kastrierten ‚Internetzugaenge‘, wo eingehende TCP-Verbindungen nicht zugelassen werden. Da sie schon mal ICMP fuer poehse!!1 halten wuerde ich denen sowas zutrauen.

HTH (weil mir dann auch nichts mehr einfallen mag),
Gruss vom Frank.
===footnotes===
[1] Vielleicht solltest Du Dir andere Quellen suchen: http://iptables-tutorial.frozentux.net/