Я пытаюсь подключиться к службе SSH моего компьютера из-за пределов моей сети (Интернета). Маршрутизатор - Sagemcom 5655. В маршрутизаторе я настроил переадресацию портов, как и много раз раньше в моей жизни, но на этот раз не работает.
Протокол: TCP Внешний порт: 9092 Перенаправить на внутренний порт: 22 Внутренний адрес: 192.168.1.141
Сервер SSH рабочий, использую почти каждый день в своей локальной сети. Но когда пытаюсь подключиться извне, ничего не происходит.
Вот как я подключаюсь к серверу: мой-пользователь @ интернет-адрес -p 9092
Единственное, что я вижу, это логин /var/log/audit/audit.log что я не понимаю:
type=CRYPTO_KEY_USER msg=audit(1574265360.622:648): pid=6212 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:eb:31:df:3b:11:5f:0f:b8:ae:5a:84:65:58:4b:b1:83:48:d8:9a:d3:d6:1c:42:45:d3:9e:2a:3f:75:79:e6:7b direction=? spid=6212 suid=0 exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset" SUID="root"
type=CRYPTO_KEY_USER msg=audit(1574265360.622:649): pid=6212 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:25:0f:2c:39:d4:e0:e1:31:fa:cf:4a:2c:4d:1c:91:17:05:b2:94:5c:00:75:6e:28:76:3c:0d:18:48:a3:a3:93 direction=? spid=6212 suid=0 exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset" SUID="root"
type=CRYPTO_KEY_USER msg=audit(1574265360.622:650): pid=6212 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:17:2e:8f:02:82:78:ac:ed:eb:06:dd:93:6c:1a:a2:bc:4d:74:ee:c0:18:c1:23:39:5c:e1:a1:0d:04:9a:b6:98 direction=? spid=6212 suid=0 exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset" SUID="root"
Есть ли вероятность, что что-то вроде SE Linux на моем компьютере с Fedora может блокировать соединение?
Я проверил / и т.д. / SSH / sshd_config и в этом нет ничего странного. Также я пытаюсь подключиться к обычному пользователю НЕ корень.
Это результат iptables -nvL ВХОД
pkts bytes target prot opt in out source destination
21396 14M LIBVIRT_INP all -- * * 0.0.0.0/0 0.0.0.0/0
16280 14M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
181 12188 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4935 271K INPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
4935 271K INPUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
13 520 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
1582 80252 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Когда я захожу в систему управления маршрутизатором, я вижу «Общедоступный IP-адрес» как 200.80. *. *** (* - это просто числа, которые я скрываю, а не подстановочные знаки!). Я также вижу, что мой маршрутизатор настроен на ответ на PING. Но когда я пингую или сканирую этот IP-адрес, ничего не происходит.
Я также протестировал подключение извне, подключив свой ноутбук к 4G через интернет-соединение моего телефона. Те же результаты.
Спасибо!
Попробуйте поставить свой sshd в режим ведения журнала VERBOSE (например: LogLevel VERBOSE в / и т.д. / SSH / sshd_config) на своей конечной точке, а затем загляните в /var/log/auth.log (для Ubuntu - производная от Redhat, вероятно, другой файл). Это должно указывать на любые ошибки pubkey, протокола, шифра или разрешения файла / каталога, связанные с файлом authorized_keys.
во-вторых, на конечной точке установите tcpdump и пусть он прослушивает ssh-трафик на порту 22 (или на любом другом порту, на котором установлен демон) примерно так: tcpdump -nn -s0 -A port 22. Это сообщит вам, что подключается к этому порту, независимо от проблем с брандмауэром или SELinux.
Попытайтесь подключиться. Эти две части должны дать вам некоторое представление о том, в чем проблема. если tcpdump работает тихо, ваш маршрутизатор не пересылает соединение должным образом или между ними есть другой переход, который блокирует соединение.
Наконец я прочитал о CG-NAT и в результате мой интернет-провайдер использовал эту технологию. Я позвонил интернет-провайдеру и попросил публичный IP-адрес, через 24 часа все работает как надо.
Спасибо за предоставленную помощь!