Probleme connection via IPCOP sur serveur SSH dans le GREEN

[tyoan]

Bonjour a tous,
J'utilise IPCOP avec Block Out Traffic. Tous les ports sauf ceux dont j'ai besoin, sont fermes et tout roule plutot bien.
J'ai installe un client SSH sur IPCOP, ceci fait, lorsque je me connecte sur le serveur ssh, il n'y a pas de connection; connection time out.
Je vois d'ou vient le probleme mais je ne sais pas comment le resoudre:
Le probleme vient pour sur du firewall: le serveur SSH ecoute sur le port 22 ce qui est normal mais le serveur demande au client ssh (IPCOP) d'ouvrir un port qui est, a chaque tentative de connection, different.
Bien entendu le firewall faisant bien son travail refuse donc la communication.
Je ne vois pas comment je peux modifier les regles dans Block Out Traffic d'IPCOP pour autoriser ma connection.
Je pensais en dernier cas, modifier le ssh_config du serveur ssh afin d'allouer un port fixe au client a chaque connection.
Merci pour votre aide.
Cordialement
Yoan

[tomtom]

le serveur SSH ecoute sur le port 22 ce qui est normal mais le serveur demande au client ssh (IPCOP) d'ouvrir un port qui est, a chaque tentative de connection, different.

Gnéééé ?

[tyoan]

tomtom,
Quelquechose cloche sur mon post, surement que ce n'est pas assez clair?
Faites moi le savoir si c'est le cas.

[micjack]

Salut,

Il n'y a pas de client SSH sur IPCop, mais un serveur, et ce serveur écoute sur le 222 (particularité d' IPCop) Si il y' a des ports différents sur les clients c'est normal, puisque ce sont des clients, et tout serveur en écoute repond à ces ports en Listening (en attente d'une connexion) qui n'influe en aucun cas sur le serveur.

Donc regarde déja si ce n'est pas le port 222 qu'il te demande

[tomtom]

La phrase que j'ai mise en évidence est à mon avis complétement fausse, donc je ne comprends même pas ton problème....


t.

[tyoan]

La phrase que j'ai mise en évidence est à mon avis complétement fausse, donc je ne comprends même pas ton problème....

Tomtom, pourquoi est-ce completement faux, faites des tests sur n'importe quel logiciel de capture de trames ethernet vous le verrez pour vous meme....
Alors si je me trompe, je serais plus que ravi de connaitre mon erreur... merci d'avance.

Il n'y a pas de client SSH sur IPCop, mais un serveur, et ce serveur écoute sur le 222 (particularité d' IPCop) Si il y' a des ports différents sur les clients c'est normal, puisque ce sont des clients, et tout serveur en écoute repond à ces ports en Listening (en attente d'une connexion) qui n'influe en aucun cas sur le serveur.

Micjack,
J'ai dit que j'avais installe un client ssh openssh sur mon IPCOP et lorsque j'essaye de me connecter sur un pc en ssh sur le port 22 alors il y a probleme. Par ailleurs ca marche sans BOT.
Sur le log du firewall j'ai pu constater que le probleme venait de mon BOT qui n'autorise pas le connection sur des ports autres que ceux que j'ai choisis.
Si le port d'ecoute du client avait ete fixe alors il n'y aurait pas de souci, mais la c'est aleatoire d'ou ma question, connaissez vous une solution applicable sur IPCOP ou sur BOT?
Le port 222 est le port ssh dedie pour acceder par defaut sur le serveur SSH d'IPCOP je l'ai compris depuis le debut, mais ce n'est pas le probleme dans mon cas je pense.
Merci

[Franck78]

tomtom à l'école, tomtom à l'école, tom...

Ecoute la nouvelle génération: un client est un serveur

[tomtom]

Tomtom, pourquoi est-ce completement faux, faites des tests sur n'importe quel logiciel de capture de trames ethernet vous le verrez pour vous meme....
Alors si je me trompe, je serais plus que ravi de connaitre mon erreur... merci d'avance.

Ce n'est pas parceque les ports sources sont différents que le client a "ouvert" des ports.
un client se connecte sur un serveur sur un port défini (en général), et ce avec un port source souvent choisi aléatoirement au dessus de 1024.
A ma connaissance (mais c'est vrai, il faut peut-être que je retourne à l'école), le client SSH se comporte de manière assez basique, c'est lui qui se connecte au serveur sur un port défini (22) et le serveur n'a pas de moyen d'imposer le port source.


Si BOT pose problème, c'est sans doute parcequ'il bloque les connexions sortantes (peux-tu pinger ta machine dans green ?). Je ne le connais pas bien à vrai dire.
Sans doute que l'observation des règles iptables et l'utilisation d'un analyseur de trames seraient efficaces, plus que pour savoir quel port ouvre le client ssh...


t.

[tyoan]

Merci pour ta reponse Tomtom,

Ce n'est pas parceque les ports sources sont différents que le client a "ouvert" des ports.

Desole mais la j'ai peur de ne pas bien comprendre ce que tu veux dire!

un client se connecte sur un serveur sur un port défini (en général), et ce avec un port source souvent choisi aléatoirement au dessus de 1024.

La je te suis...

Si BOT pose problème, c'est sans doute parcequ'il bloque les connexions sortantes (peux-tu pinger ta machine dans green ?).

Tout a fait est c'est bien le but, bloquer les ports non "utiles". Oui je peux pinger mes pcs alias serveurs ssh potenciels sans probleme puisque j'ai cree mes regles d'acceptation du PING et PONG dans BOT.

Code: Tout sélectionner

firewall log:
GREEN-REJECT     eth0     TCP     192.168.2.2  22(SSH)    00:1b:78:04:e5:4c 192.168.2.1 38536
                                         serveur                                 ipcop

iptables -L:

chain BOT_FORWARD
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             192.168.2.0/24      tcp dpt:ssh
ACCEPT     udp  --  anywhere             192.168.2.0/24      udp dpt:ssh

chain BOT_INPUT

ACCEPT     icmp --  192.168.2.0/24       anywhere            icmp echo-reply
ACCEPT     icmp --  192.168.2.0/24       anywhere            icmp echo-request
ACCEPT     tcp  --  192.168.2.0/24       anywhere            tcp dpt:ssh
ACCEPT     udp  --  192.168.2.0/24       anywhere            udp dpt:ssh



Merci encore pour l'aide que vous pouvez apporter.
Yoan

[tomtom]

Perdu, c'ets la chaine OUTPUT qui est importante dans ton cas :p

t.

[tyoan]

Perdu, c'ets la chaine OUTPUT qui est importante dans ton cas :p

Tomtom
Je ne voudrais pas paraitre parano mais j'ai vraiment l'impression que tu me prends pour un imbecile.
Si tu ne sais pas, ne dit rien car depuis le debut , tu as l'amabilite de me repondre certes mais sans mettre les formes, tu reponds pour tailler. J'ai pose une question precise et j'ai mis les codes que j'ai... Si il y avait eu un BOT_OUTPUT je l'aurais bien sur poster!!
Alors si il n'y pas de reponse pour mon probleme c'est pas grave, je mettrai le temps qui faut mais je trouverai une solution.
Je n'ai pas besoin d'etre corrige par quelqu'un qui ne m'apprends rien. Tu repliques sans rien justifier, juste dire PERDU, ...completement fausse, bref que du negatif sans developper.... C'est pas le propre de l'informaticien ca!
Si quelqu'un peut m'aiguiller sur ma question j'apprecierai grandement.
Merci

[tomtom]

c'est la chaine OUTPUT qui est importante dans ton cas

[micjack]

J'ai dit que j'avais installe un client ssh openssh sur mon IPCOP

Ah ok, je n'avait pas compris que tu voulait prendre la main depuis IPCop, alors je suis également d'accord, c'est OUTPUT d'IPCop vers Green.

Aprés, je ne sais pas comment faut trifouiller ca dans BOT, je ne l'utilise pas et j'ai pas IPCop non plus.. Mais je pense qu'une simple régle Iptable devrait suffir à outrepasser celle de BOT.