[Linux-bruxelles] port remapping

Aldo info at brlspeak.net
Lun 8 Mar 08:57:14 CET 2010 

J'avais bien compris ton exemple Manu, et c en ce sens qu'on avait fait des
modifes (pas moi car le Belkin n'a qu'une interface graphique, hm);
mais comme déjà dit, et bizarrement, si j'ose mettre une autre porte ext.
ouverte que 22, 10222 ou peu importe, remappée vers 22 en interne, pas
possible de se loguer à distance malgré mon ddclient et malgré que l'ordi
192.168.x.yy soit mis dans la DMZ comme ils le demandent.
C frustrant, avec le Sweex.com qu'on avait, tout se réglait dans un seul
tableau sans chichi et ça fonctionnait.
Notes que je vais titiller leur service Support, ils sont sensé savoir ce
que leur propre manuel ne décrit pas ou très mal/de traviole.

Je pense que tu/vous ne peut pas faire plus, tout ce que tu dis est correct
et sensé fonctionner. Pour autant je vais m'accomoder des bizareries de ce
Belkin tout neuf, à la verticale il prend bcp moins de place sur le bureau,
et il a le wi-fi qu'on n'avait pas eu auparavant.

Thanx,

Aldo.

PS: ton client mail envoit du html!!! sur la liste!!!

On Sun, Mar 07, 2010 at 09:59:13PM +0100, Manuel Schulte wrote:

> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
> <html>
> <head>
>   <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
> </head>
> <body bgcolor="#cccccc" text="#000000">
> Hello Aldo<br>
> Réponses dans le texte plus bas...<br>
> <br>
> Aldo wrote:
> <blockquote cite="mid:20100306130340.GC4200 at jupiter" type="cite">
>   <pre wrap="">Yo Manu, 
> 
> ptites questions supp:
> 
> On Fri, Feb 26, 2010 at 11:19:31PM +0100, Manuel Schulte wrote:
>   </pre>
>   <blockquote type="cite">
>     <pre wrap="">a/ pas de login ROOT en SSH!!!
>     </pre>
>   </blockquote>
>   <pre wrap=""><!---->
> Euh c'est également dans sshd_config ? si oui, c alors assurément la ligne:
> PermitRootLogin yes
> qu'il vaut mieux mettre en PermitRootLogin no
>   </pre>
> </blockquote>
> Effectivement, c'est cela. Il faut mettre "PermitRootLogin" à "no" dans
> sshd_config pour interdire une connection ssh en tant que root.<br>
> REM: sshd_config = config du daemon (service) ssh | ssh_config = config
> ssh en tant que "client ssh"<br>
> <blockquote cite="mid:20100306130340.GC4200 at jupiter" type="cite">
>   <pre wrap="">
>   </pre>
>   <blockquote type="cite">
>     <pre wrap="">b/ Limiter le nombre de tentatives d'accès, imposer un temps d'attente de
> min. 30 secondes entre 2 tentatives infructueuses et tout bloquer après 3
> tentatives infructueuses. (accessoirement utiliser un "banner" à afficher
> lors d'un login réussi / utile uniquement pour un SSH que tu ne serais pas
> le seul à utiliser... pour avertir les utilisateurs de conséquences en cas
> d'utilisation frauduleuse de la connection...)
>     </pre>
>   </blockquote>
>   <pre wrap=""><!---->
> J'ai mis fail2ban, ai juste modifié jail.local pour réduire le total des
> tentatives de 6 à 3,
> et bannir pendant plus longtemps que les 600 secondes proposées.
>   </pre>
> </blockquote>
> Très bien!<br>
> <blockquote cite="mid:20100306130340.GC4200 at jupiter" type="cite">
>   <pre wrap="">
>   </pre>
>   <blockquote type="cite">
>     <pre wrap="">c/ (mais cela tu t'apprêtes à le faire) ne pas utiliser un port standard 
> (et
> de préférence > 1024)... ceci dit, avec réserves car avec Nmap un bon hacker
> peut savoir quels sont les ports ouverts sur ton routeur et aussi ce qui
> "écoute" derrière... d'où l'importance des points a et b.
>     </pre>
>   </blockquote>
>   <pre wrap=""><!---->
> Comme ça n'allait pas pour fixer ce problème dans mon modem/routeur, j'ai
> remis le port standard, qui chez mon FAI n'est pas bloqué; mais j'ai
> augmenté la sécu en suivant vos autres conseils, en espérant que ça soit
> effectif... 
>   </pre>
> </blockquote>
> Pas si grave, l'essentiel est fait (pas de login root, fail2ban...).<br>
> <blockquote cite="mid:20100306130340.GC4200 at jupiter" type="cite">
>   <pre wrap="">
>   </pre>
>   <blockquote type="cite">
>     <pre wrap="">Cerise sur le gâteau: pas d'autentification par mot de passe, mais
> uniquement par clef...
>     </pre>
>   </blockquote>
>   <pre wrap=""><!---->
> C fait.
>   </pre>
> </blockquote>
> Très bien!
> <blockquote cite="mid:20100306130340.GC4200 at jupiter" type="cite">
>   <pre wrap=""> 
>   </pre>
>   <blockquote type="cite">
>     <blockquote type="cite">
>       <pre wrap="">(en passant, es-ce aussi appelé NAT dans certains modem/routeurs ?)
> 
>       </pre>
>     </blockquote>
>     <pre wrap="">Non, pas la même chose... NAT  = Network Address Translation
> En gros, le mécanisme utilisé par un Firewall pour faire en sorte qu'un PC
> qui "visible" de l'extérieur sur l'adresse 81.48.192.48 réponde à
> l'intérieur à l'adresse 192.168.252.3 (par exemple dans les 2 cas...)
> Dans la plupart des cas, l'adresse 81.48.192.48 est en réalité l'adresse
> publique du routeur/firewall, tandis que l'autre est celle de son adresse
> privée...
>     </pre>
>   </blockquote>
>   <pre wrap=""><!---->
> Dans notre Belkin y a pas de PAT ou PortMapping, mais uniquement les noms
> Firewall, Virtual SErver, DMZ et NAT.
>   </pre>
> </blockquote>
> Dans ton cas, tu dois aller dans "Virtual Server": tu entres l'IP de la
> machine de ton réseau qui est le serveur SSH, tu sélectionne le port
> public de ton routeur qui écoutera le traffic SSH et tu indique vers
> quel port privé ton serveur SSH écoute.<br>
> Dans ton cas, ton serveur SSH écoute sur le port 22.<br>
> Tu peux mettre 22 comme port public, mais c'est peu recommandé (fameuse
> recommandation pour les ports <= 1023)<br>
> Si tu mets là 10222 (par exemple), cela veut dire que tu te connecteras
> de la façon suivante:<br>
> <br>
> De l'intérieur: (comme d'hab):<br>
> ~$ ssh "monserveur"<br>
> ~$ scp monfichier "monserveur":/chemin[/monfichier]<br>
> <br>
> [/monfichier] = facultatif...<br>
> <br>
> De l'extérieur:<br>
> ~$ ssh -p 10222 "ip_detonrouteur" (ou <a class="moz-txt-link-rfc2396E" href="mailto:nom_de_tonrouter at dyndns.org">"nom_de_tonrouter at dyndns.org"</a>)<br>
> ~$ scp -P 10222 monfichier "ip_detonrouteur":/chemin[/monfichier]<br>
> <br>
> Attention, dans tous les cas, vires les guillemets, c'était pour la
> mise en évidence...<br>
> <br>
> Ton routeur recevant une connection ssh sur son port 10222 se mettra en
> devoir de forwarder sur le port 22 de ton serveur...<br>
> <br>
> Bien sûr, si le routeur écoute aussi sur le port 22, c'est comme quand
> tu te connectes en interne (pas de paramètres à fournir pour le port,
> sauf si ton client SSH est configuré pour transmettre par défaut sur un
> autre port (c'est rare, mais cela se fait parfois, cfr. "Port" dans
> "ssh_config")), sauf que tu dois t'adresser à l'adresse ip publique de
> ton routeur; c'est ce dernier qui retransmettra au serveur SSH sur ton
> réseau...<br>
> <blockquote cite="mid:20100306130340.GC4200 at jupiter" type="cite">
>   <pre wrap="">
> Aldo. 
> 
>   </pre>
> </blockquote>
> </body>
> </html>
> 

> -- 
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles


-- 
  Dig that crazy beat on the drums:  VINUX !!!  The best is getting better!
  ----------------------------------<http://vinux.org.uk>------------------

Plus d'informations sur la liste de diffusion Linux-bruxelles