Pages : 1
#1 Le 20/04/2010, à 20:33
- Wasabii
Ssh et Livebox [RESOLU]
Bonjour à tous,
J'ai un petit soucis avec le ssh comme vous vous en doutez d'après le titre... Je vous situe un peu le contexte. Au travail je lance des calculs sur une machine largement moins puissance que le pc que j'ai à la maison. J'aimerai donc pouvoir me connecter en ssh à ma machine (à la maison) depuis mon labo pour lancer ces calculs dessus.
J'ai donc ssh, en local à la maison ça fonctionne nikel, par contre pour y accéder depuis l'extérieur il y a un sacré problème... la Livebox! Je ne sais pas quoi faire pour pouvoir me connecter dessus et donc accéder au réseau local de ma maison.
Il me semblait que créer une règle nat/pat était une bonne idée, je la créé donc pour une application ssh,
port interne 22
port externe 22
protocole TCP
Equipement: je met celui qui correspond à mon ordi pour la livebox
activer: coché (évidemment)
Pour tester cette connexion ssh, j'utilise mon téléphone portable comme modem (sans quoi j'ai une connection refusée sans autre forme de procès). Le problème c'est que même en mettant la sécurité au minimum je n'arrive pas à me connecter, il me demande le mot de passe après avoir fait ssh login_orange@IP_publique... je le rentre, il me dit connection refuser jusqu'à arrêter la commande...
Donc j'aimerai savoir si d'après vous j'ai oublié de faire quelque chose pour que cela fonctionne, peut être que l'un d'entre vous réussi à travailler sur sa machine en ssh depuis l'extérieur avec une Livebox?
Merci d'avance, je me tiens prêt à répondre à toute question!
Wasabii
Dernière modification par Wasabii (Le 21/04/2010, à 00:13)
Hors ligne
#2 Le 20/04/2010, à 20:50
- bertrand0
Re : Ssh et Livebox [RESOLU]
Sur certaines livebox, il faut ouvrir le firewall de la livebox en plus de définir les règles du nat. Essayez brièvement en mettant le firewall au minimum pour vérifier que le problème ne vient pas de là.
Pour tester le port, utilisez un testeur de port comme celui-ci par exemple.
"TCP Error 113 Connection refused" indique que le port est fermé sur votre pc, mais que le firewall a bien laissé passé
"TCP Error 110 Connection refused" indique un timeout, ce qui signifie que le port est bloqué par le firewall.
Par ailleurs, sur l'ordinateur abritant sshd, l'autorisation de connexion peut être influencé par la configuration de ces fichiers:
/etc/ssh/sshd_config (config de sshd , des options comme VerifyReverseMapping peuvent avoir un effet)
/etc/hosts.allow et /etc/hosts.deny (contrôle d'accès par démon, voir man hosts_access et hosts_options)
/etc/ufw/applications.d/openssh-server (le firewall de ubuntu, s'il est activé)
/etc/pam.d/sshd (configuration de pam pour ssh)
Dernière modification par bertrand0 (Le 20/04/2010, à 21:04)
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#3 Le 20/04/2010, à 20:56
- Wasabii
Re : Ssh et Livebox [RESOLU]
J'ai l'erreur 113, accompagné de ceci:
"Error: TCP port 22 is unavailable. Make sure your firewall or router is allowing/forwarding this TCP service port and your ED2K client is running (i.e. aMule, eMule)."
et ... je n'y comprends rien c'est le contraire de ce que tu viens de me dire
Hors ligne
#4 Le 20/04/2010, à 21:27
- bertrand0
Re : Ssh et Livebox [RESOLU]
La ligne Error est un message générique qui apparaît par opposition à success.
C'est la ligne Explanation qui décrit de manière spécifique l'erreur rencontrée par le testeur de port. Or un firewall se traduit systématiquement par un timeout, car il ne répond à aucune requête sur ce port.
Dernière modification par bertrand0 (Le 20/04/2010, à 21:36)
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#5 Le 20/04/2010, à 21:34
- bertrand0
Re : Ssh et Livebox [RESOLU]
Plus précisément :
TCP error 110 = Connection timed out --> firewall à coup sûr
TCP error 111 = Connection refused --> port fermé (ssh pas lancé ou mauvaise machine)
TCP error 113 = No route to host --> machine pas trouvée (pb dans le nat a priori)
ce qui semble indiquer un problème dans le NAT; l'adresse de redirection est-elle correcte ?
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#6 Le 20/04/2010, à 21:37
- Wasabii
Re : Ssh et Livebox [RESOLU]
Normalement oui puisque sur la livebox l'adresse de redirection est nominative (le nom du pc)... sniff
Hors ligne
#7 Le 20/04/2010, à 21:49
- bertrand0
Re : Ssh et Livebox [RESOLU]
J'imagine que vous avez une livebox 2 ?
Dans Livebox/Paramètres avancés/DHCP/Paramètres IP statique, dnas le menu déroulant du nom correspondant à l'adresse IP que vous avez choisi, vérifiez que vous n'avez pas plusieurs matériels portant le même nom. Si c'est le cas ils apparaîtront plusieurs fois dans la liste: il faut sélectionner le bon.
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#8 Le 20/04/2010, à 22:15
- Wasabii
Re : Ssh et Livebox [RESOLU]
Tout d'abord désolé pour le temps de réaction, je suis allé voir dans les ip statiques... et j'ai vu 4 ou 5 new host, des noms dans tous les sens... j'ai un peu paniqué... j'ai tout supprimer pour refaire proprement le truc xD
Alors maintenant j'ai ça:
Success The TCP port 22 is available. You should be able to use the ED2K P2P service without any problems.
Donc je vais me lancer pour voir ce que ça donne, une petite question cependant, quand je fais login@IP_publique, dans le login dois-je mettre fti/ devant le machin? Je n'arrive pas à savoir si ce fti en fait parti, du login?
En tout cas mon problème à l'air d'avancer, merci!
PS: j'ai essayé avec et sans le fti/, dans les deux cas ça ne réagit pas... c'est à dire ça reste à clignoter sans rien faire...
Pour précision, je me connecte au net sur un pc portable en utilisant mon téléphone portable comme modem, histoire de ne pas avoir le problème du modem qui passe par internet pour se connecter à lui meme
Dernière modification par Wasabii (Le 20/04/2010, à 22:23)
Hors ligne
#9 Le 20/04/2010, à 23:28
- bertrand0
Re : Ssh et Livebox [RESOLU]
Success The TCP port 22 is available. You should be able to use the ED2K P2P service without any problems.
Ok, le firewall et le nat sont bien configurés.
Donc je vais me lancer pour voir ce que ça donne, une petite question cependant, quand je fais login@IP_publique, dans le login dois-je mettre fti/ devant le machin? Je n'arrive pas à savoir si ce fti en fait parti, du login?
Non, il faut mettre le login de votre compte sur votre machine, celle qui abrite le serveur ssh: il s'agit du login et du mot de passe que vous tapez pour ouvrir votre session utilisateur. Le fti/... n'a rien à voir, c'est le login de votre connexion internet: vous n'aurez plus jamais à le taper après l'installation de votre livebox.
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#10 Le 20/04/2010, à 23:36
- bertrand0
Re : Ssh et Livebox [RESOLU]
D'un point de vue sécurité, je vous rappelle qu'il y a souvent des individus malintentionnés qui font régulièrement des scans des ports réguliers sur les machines exposées à internet; il faut donc vous assurer d'avoir un mot de passe qui ne soit pas trop vulnérable à une attaque par dictionnaire ou par force brute (ie mot passe trop court ou trop simple), et désactiver l'accès root. Utiliser un autre port que le 22 permet aussi d'éviter une bonne partie des tentatives d'intrusion automatisées.
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#11 Le 20/04/2010, à 23:39
- Wasabii
Re : Ssh et Livebox [RESOLU]
Alors maintenant j'ai "Network is unreachable"... j'ai essayé en retirant la protection de la Livebox pourtant
Pour mon travail je risque d'avoir besoin de l'accès root, pour le changement de port, il s'agit de changer le port interne dans la règle nat/pat? Lors du login (quand je réussirai enfin à me connecter), devrai-je préciser le port que j'aurai mis?
Dernière modification par Wasabii (Le 20/04/2010, à 23:47)
Hors ligne
#12 Le 20/04/2010, à 23:52
- Wasabii
Re : Ssh et Livebox [RESOLU]
ça marche!! CA MAAAAARCHE!!
MERCIIII
Poualala je suis trop heureux!
Alors du coup je vais t'embêter encore un tout petit peu avec la sécurité, pour le port donc c'est uniquement le port interne que je dois changer? Y a-t-il des ports "réservé"?
Dois-je changer # What ports, IPs and protocols we listen for dans le fichier sshd_config?
Voilà je pense que ce seront mes dernières questions, et demain je vais pouvoir lancer mes calculs pleines puissaaances!
Hors ligne
#13 Le 20/04/2010, à 23:58
- bertrand0
Re : Ssh et Livebox [RESOLU]
Il faut changer le port externe, dans la config de la livebox.
Puis pour se connecter depuis une machine extérieure, il faut rajouter à la commande ssh l'option -p suivie du numéro de port externe.
ssh -p 12345 bertrand@WW.XX.YY.ZZ
Dernière modification par bertrand0 (Le 20/04/2010, à 23:59)
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#14 Le 21/04/2010, à 00:02
- Wasabii
Re : Ssh et Livebox [RESOLU]
Ah, si je précisais interne c'est justement parce que je n'ai pas la possibilité de changer le port externe dans les paramètres nat/pat (la case est grisé avec 22..)...
Même dans le mode de sécurité personnalisé, dès que je choisis une règle ssh il me met en port externe 22...
Un mot de passe très très compliqué pourrait suffire? Etant donné que c'est pour mon travail je ne peux pas me permettre de subir des intrusions intempestives...
Hors ligne
#15 Le 21/04/2010, à 00:04
- bertrand0
Re : Ssh et Livebox [RESOLU]
Il faut aller en bas de la liste des protocoles et choisir "créer une nouvelle règle". Dans la case qui apparaît, taper SSH, puis 12345 (à choisir) dans port externe, 22 dans port interne, protocole TCP, ....
Un mot de passe qui ne consiste pas de mots du dictionnaire, et qui mélange minuscule/majuscule et chiffres est suffisant, parce que l'attaquant ne sait pas quels sont les logins qui existent réellement. C'est pourquoi il faut que le login "root" soit désactivé, parce qu'étant donné que l'attaquant est assuré qu'il existe, il peut tranquillement essayer toutes les possibilités de façon automatique.
Vous n'avez pas besoin d'être root pour forwarder des ports > 1024. Et pour forwarder les ports < 1024, vous pouvez très bien le faire sur une connexion en retour, avec un
sudo ssh -L port_maison:localhost:port_labo monlogin@adresse_ip_labo -N -f
Dernière modification par bertrand0 (Le 21/04/2010, à 00:20)
Ceux qui écrivent comme ils parlent, quoiqu'ils parlent très bien, écrivent mal.
Buffon, Discours sur le style
Hors ligne
#16 Le 21/04/2010, à 00:13
- Wasabii
Re : Ssh et Livebox [RESOLU]
En une soirée tu as répondu à plusieurs journées de galères où la plupart des tuto étaient vieux d'au moins 1 an!
Je ne peux que te remercier infiniment pour ton aide patiente, précise et ô combien efficace! J'espère que notre échange servira à d'autres!
Encore merci!
Bonne soirée!
Hors ligne
#17 Le 21/04/2010, à 00:46
- Wasabii
Re : Ssh et Livebox [RESOLU]
En fait je me disais que je risquais d'avoir besoin d'être root pour installer des logiciels si je me rends compte à mon travail que je ne les ai pas sur mon pc de la maison, il me faut pouvoir faire "sudo apt-get install etc." ou peut être que c'est un autre root dont on parle?
Hors ligne
#18 Le 21/04/2010, à 10:20
- grim7reaper
Re : Ssh et Livebox [RESOLU]
Pour la sécurité, le mieux c'est l'authentification par un système de clés publique/privé. C'est bien plus sûr que l'utilisation d'un mot de passe.
Mais après si tu as un mot de passe très solide, bah c'est bon aussi je pense.
Hors ligne
#19 Le 21/04/2010, à 10:53
- Compte supprimé
Re : Ssh et Livebox [RESOLU]
Et on peut aussi conseiller l'installation de fail2ban sur le serveur.
http://doc.ubuntu-fr.org/fail2ban
#20 Le 21/04/2010, à 11:24
- grim7reaper
Re : Ssh et Livebox [RESOLU]
Oui effectivement, fail2ban est un must contre les attaques automatiques
Hors ligne
#21 Le 24/04/2010, à 09:25
- nesthib
Re : Ssh et Livebox [RESOLU]
tu peux aussi désactiver le login ssh pour le compte root dans /etc/ssh/sshd_config ou n'autoriser que le login pour ton compte utilisateur (il y a également plein d'autres paramètres intéressants > voir man sshd_config) après rien ne t'empêche de changer d'utilisateur une fois loggué.
en ce qui concerne fail2ban c'est une excellente solution
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne