Toon posts:

[FreeBSD] Kan ssh niet bereiken na aanzetten firewall

Pagina: 1
Acties:

zaterdag 5 augustus 2006 18:02

Acties:
  • FooBarWidget
  • Registratie: September 2004
  • Laatst online: 12-09-2024

FooBarWidget

Topicstarter
Ik heb op mijn FreeBSD server mijn PF firewall als volgt geconfigureerd:
ext_if = "bge0" (mijn externe netwerk interface)
antispoof on $ext_if
block on bge0 from any
pass quick on bge0 proto icmp from any
pass quick on bge0 proto tcp from any port { ssh, http, https }

De syntax klopt misschien niet helemaal maar dat komt omdat ik de file uit mijn hoofd probeer te reconstrueren.

Ik heb deze configuratie getest door de file te laden met 'pfctl -e' en 'pfctl -f'. Ik kon de server via ssh bereiken zelfs na het aanzetten van de firewall. Ik dacht, alles is ok, dus ik bewerkte /etc/rc.conf en zette PF aan, zoals staat beschreven in het FreeBSD handboek. Echter, na de herstart kan ik de server via ssh niet meer bereiken. De symptomen zijn als volgt:
1. Pingen lukt nog wel.
2. Als ik telnet naar poort 22 krijg ik de melding "SSH-2.0-OpenSSH_4.2p1 FreeBSD-20050903". Als ik iets willekeurigs intypt wordt ik gedisconnect.
3. Als ik telnet naar poort 80 of 443 krijg ik 'connection refused' (hoort ook zo want ik heb Apache nog niet draaien)
4. Als ik telnet naar een willekeurig ander poort gebeurt er niets (zoals het hoort).
5. Als ik met ssh probeer in te loggen gebeurt er niets. Er wordt ook niet om een wachtwoord gevraagd.

Weet iemand wat er aan de hand is? Ik heb het Internet doorzocht maar ik heb niet kunnen vinden of ik nog iets anders moet doorlaten om ssh goed te laten werken.

zaterdag 5 augustus 2006 18:07

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 24-01 18:07

Leon

Rise Of The Robots

het zou hier aan kunnen liggen?

Heb je al geprobeerd of er na lang wachten wel een wachtwoord prompt komt? :)

Eeuwige n00b

zaterdag 5 augustus 2006 18:10

Acties:
  • FooBarWidget
  • Registratie: September 2004
  • Laatst online: 12-09-2024

FooBarWidget

Topicstarter
Ik ben DNS resolves helemaal vergeten. :( Dat zijn UDP pakketten. Mijn firewall is geconfigureerd om alle binnenkomende UDP pakketten te negeren.

Ik heb lang gewacht met inloggen, uiteindelijk werd ik gedisconnect. Zou het inderdaad hierdoor komen?

[ Voor 45% gewijzigd door FooBarWidget op 05-08-2006 18:14 ]

zaterdag 5 augustus 2006 23:37

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Wat denk je van een rule als dit:
pass in on $external inet proto tcp from any to any port 22 flags S/SA keep state

Beetje lullig als je state verbinding niet geaccepteerd wordt nadat je een succesvolle connectie opzet via poort 22 ;)

zondag 6 augustus 2006 22:00

Acties:

Verwijderd

post de output van
code:
1

ssh -vvv example.com
eens....

dinsdag 8 augustus 2006 14:22

Acties:
  • FooBarWidget
  • Registratie: September 2004
  • Laatst online: 12-09-2024

FooBarWidget

Topicstarter
Bedankt allemaal, het is nu opgelost. :) Dit is de nieuwe firewall configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

ext_if = "bge0"
admin_ips = [SNIP]

antispoof for $ext_if

# Block all incoming traffic.
block in on $ext_if

# Keep state for outgoing and initiated incoming traffic.
pass out quick on $ext_if proto tcp from any to any keep state
pass in quick on $ext_if inet proto tcp from any to any port 22 flags S/SA keep state

# Allow ping.
pass in quick on $ext_if proto icmp

# Allow some services.
pass in quick on $ext_if proto tcp to any port { ssh, http, https }
# ICMP
pass in quick on $ext_if proto udp
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq