Toon posts:

[Ubuntu] SSH timeout

Pagina: 1
Acties:

Onderwerpen

Ubuntu

woensdag 5 mei 2010 14:54

Acties:
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
Ik draai op mijn Ubuntu (2.6.31-21-server) een SSH server. Als ik de firewall naar mijn idee netjes configureer dan krijg ik om de 10 min een SSH Timeout. Het maakt niet uit of ik wat aan het doen ben via SSH, altijd krijg ik die time-out.

Firewall config
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260

echo "
###########################################################################################
                                      Flush all chains and rules
###########################################################################################
"
iptables --table filter --flush
iptables --table filter --delete-chain
iptables --table filter --zero
iptables --table nat    --flush
iptables --table nat    --delete-chain
iptables --table nat    --zero
iptables --table mangle --flush
iptables --table mangle --delete-chain
iptables --table mangle --zero

iptables --table filter --policy INPUT        ACCEPT
iptables --table filter --policy OUTPUT       ACCEPT
iptables --table filter --policy FORWARD      ACCEPT
iptables --table nat    --policy PREROUTING   ACCEPT
iptables --table nat    --policy POSTROUTING  ACCEPT
iptables --table nat    --policy OUTPUT       ACCEPT
iptables --table mangle --policy PREROUTING   ACCEPT
iptables --table mangle --policy INPUT        ACCEPT
iptables --table mangle --policy FORWARD      ACCEPT
iptables --table mangle --policy OUTPUT       ACCEPT
iptables --table mangle --policy POSTROUTING  ACCEPT
echo "
###########################################################################################
                            Flush completed
###########################################################################################
"

echo "
###########################################################################################
                               LOG data                                         
###########################################################################################
"

echo "
###########################################################################################
                            LOG Completed                                         
###########################################################################################
"

##########################################################################################
#                                            NAT                                         #
###########################################################################################

iptables --table nat --append POSTROUTING --out-interface WAN -j MASQUERADE
iptables --append FORWARD --in-interface LAN -j ACCEPT

echo "
###########################################################################################
                            NAT completed
###########################################################################################
"

###########################################################################################
#                                           DNS                                           #
###########################################################################################

#DNS van server naar XS4ALL servers 
#iptables -A OUTPUT -o WAN -p udp --dport 53 -s 10.0.1.2  -d 194.109.6.66 -j ACCEPT  
#iptables -A OUTPUT -o WAN -p udp --dport 53 -s 10.0.1.2  -d 194.109.9.99 -j ACCEPT

#Firewall == DNS server so ROOT DNS resolve
iptables -A OUTPUT -o WAN -p udp --dport 53 -s 10.0.1.2   -j ACCEPT
iptables -A OUTPUT -o LAN -p udp --sport 53 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT  -i LAN -p udp --dport 53 -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT  -i WAN -p udp --sport 53 -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT

#DNS DATA van DNS Servers van XS4all naar server
#iptables -A INPUT  -i WAN -p udp --sport 53 -s 194.109.9.99  -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT  -i WAN -p udp --sport 53 -s 10.0.1.2 -j ACCEPT

echo "
###########################################################################################
                          DNS completed
                      Server can use XS4ALL DNS servers 
###########################################################################################
"

############################################################################################
#                                   SQUID HTTP CONFIG                                      #
############################################################################################

#squid transparant proxy, port redirect
#Incomming from LAN on port 80 redirect to port 3128
iptables -t nat -A PREROUTING -i LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

#http (80)
#From Firewall to WAN
iptables -A OUTPUT -o WAN -p tcp --dport 80 -s 10.0.1.2 -j ACCEPT 
#From WAN to Firewall
iptables -A INPUT -i WAN -p tcp --sport 80 -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "
###########################################################################################
                         SQUID CONFIG  completed
###########################################################################################
"

###########################################################################################
#                                    From LAN to WAN                                      #
###########################################################################################

#http (3128) | Redicted traffic from port 80 to 3128
iptables -A INPUT -i LAN -p tcp --dport 3128 -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -o LAN -p tcp --sport 3128  -s 192.168.0.1 -d 192.168.0.0/24  -m state --state ESTABLISHED,RELATED -j ACCEPT

#https (443) From LAN to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 443 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED  -d 192.168.0.0/24 -o LAN

#DNS (53) From LAN to WAN | Firewall == DNS Server != forwarden
#iptables -A FORWARD -j ACCEPT -p udp --dport 53 -s 192.168.0.0/24 -i LAN
#iptables -A FORWARD -j ACCEPT -p udp --sport 53 -d 192.168.0.0/24 -o LAN

#Radio Ishara (8000) From LAN to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 8000 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 8000 -d 192.168.0.0/24 -s 62.75.149.169 -m state --state ESTABLISHED,RELATED -o LAN

#MSN (1863) From LAN to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 1863 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 1863 -d 192.168.0.0/24 -o LAN -m state --state ESTABLISHED,RELATED

#SSH (22) From LAN to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 22 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 22 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#pop3 (110) From lan to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 110 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 110 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#smtp (25) From lan to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 25 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 25 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#torrent (6881 - 6889) From lan to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 6881:6889 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 6881:6889 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#FTP (20 - 21) From lan to WAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 20:21 -s 192.168.0.0/24 -i LAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 20:21 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

echo "
###########################################################################################
                          LAN to WAN completed
###########################################################################################
" 

###########################################################################################
#                                      From LAN to Firewall                               #
###########################################################################################

#DNS (53) From LAN to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 53 -s 192.168.0.0/24 -d 192.168.0.1 -i LAN
iptables -A OUTPUT -j ACCEPT -p tcp --sport 53 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#SSH (22) From LAN to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 22 -s 192.168.0.0/24 -d 192.168.0.1  -i LAN
iptables -A OUTPUT -j ACCEPT -p tcp --sport 22 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#FTP
iptables -A INPUT -j ACCEPT -p tcp --dport 20:21 -s 192.168.0.0/24 -d 192.168.0.1 -i LAN 
iptables -A OUTPUT -j ACCEPT -p tcp --sport 20:21 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

#Samba (allow network share)
#iptables -A INPUT -j ACCEPT -p tcp --sport 445 -s 192.168.0.13 -i LAN 
#iptables -A OUTPUT -j ACCEPT -p tcp --dport 445 -d 192.168.0.13 -o LAN

echo "
###########################################################################################
                                 LAN to Firewall completed
###########################################################################################
"

###########################################################################################
#                                From WAN to Firewall and beyond                          #
###########################################################################################

#SSH (22) From WAN to Firewall
iptables -A INPUT   -j ACCEPT -p tcp --dport 22 -s 0/0 -d 10.0.1.2 -i WAN
iptables -A OUTPUT  -j ACCEPT -p tcp --sport 22 -s 10.0.1.2 -d 0/0 -o WAN

#HTTP (80) From WAN to Firewall
iptables -A INPUT   -j ACCEPT -p tcp --dport 80 -s 0/0 -d 10.0.1.2 -i WAN
iptables -A OUTPUT  -j ACCEPT -p tcp --sport 80 -s 10.0.1.2 -d 0/0 -m state --state ESTABLISHED,RELATED  -o WAN

#FTP (20:21) From WAN to Firewall
iptables -A INPUT   -j ACCEPT -p tcp --dport 20:21 -s 0/0 -d 10.0.1.2 -i WAN
iptables -A OUTPUT  -j ACCEPT -p tcp --sport 20:21 -s 10.0.1.2 -d 0/0 -m state --state ESTABLISHED,RELATED  -o WAN

#HTTPS (443) From WAN to Firewall
iptables -A INPUT   -j ACCEPT -p tcp --dport 443 -s 0/0 -d 10.0.1.2 -i WAN
iptables -A OUTPUT  -j ACCEPT -p tcp --sport 443 -s 10.0.1.2 -d 0/0 -m state --state ESTABLISHED,RELATED  -o WAN

#allow ICMP outgoing ping 
iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.0.1.2 -j ACCEPT -o WAN
iptables -A INPUT -p icmp --icmp-type 0 -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT -i WAN

#Allow backup webinterface
iptables -A FORWARD -j ACCEPT -p tcp --dport 5000:5002 -i WAN
iptables -A FORWARD -j ACCEPT -p tcp --sport 5000:5002 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

echo "
###########################################################################################
                            WAN to Firewall completed
###########################################################################################
"

###########################################################################################
#                                          Portfowarding                                  #
###########################################################################################

#port forward Utorrent
iptables -t nat -A PREROUTING -i WAN -p TCP --dport 34967 -j DNAT --to 192.168.0.66
iptables -t nat -A PREROUTING -i WAN -p TCP --dport 6881:6889 -j DNAT --to 192.168.0.66
iptables -t nat -A PREROUTING -i WAN -p TCP --dport 8008 -j DNAT --to 192.168.0.66

#HTTP interface for Perfect-BackUp
iptables -t nat -A PREROUTING -i WAN -p TCP --dport 5000 -j DNAT --to 192.168.0.4
#HTTPS interface for Perfect-BackUp
iptables -t nat -A PREROUTING -i WAN -p TCP --dport 5002 -j DNAT --to 192.168.0.4


echo "
###########################################################################################
                            Portforwarding Completed
###########################################################################################
"

###########################################################################################
#                                   QOS                       #
###########################################################################################


echo "
###########################################################################################
                              QOS Completed                     
###########################################################################################
"

###########################################################################################
#                                        DROP Data                                        #
###########################################################################################
#Default DROP ALL
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#iptables -P FORWARD ACCEPT
#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT

###########################################################################################
#                                   DROP Data completed                                   #
##########################################################################################


Wanneer ik alles open gooi dan werkt het wel naar behoren, alleen heeft de firewall dan niet echt nut :+ .
Iemand enig idee wat ik nog meer open moet zetten behalve port 22?

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 5 mei 2010 15:04

Acties:
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Heb je al geprobeerd om uit te vinden welke specifieke regel of combinatie van regels verantwoordelijk is? Probeer bijvoorbeeld eens uitgaand verkeer met source port 22 volledig toe te staan, ipv alleen established/related, wellicht dat connection tracking niet jofel werkt met ssh?

Om te kijken of het een input of output regel is die te strikt is kan je testen met input danwel ouput policy op accept. En zo kan je met wat verder uitproberen en redeneren wellicht ontdekken welke regel dwars zit. Of tot de conclusie komen dat het verkeer om de een of andere reden tegen de drop policy aanloopt en je dus een accept regel mist / er een accept regel zijn werk niet doet.

Eventueel kan je nog met een sniffer aan de slag om te kijken of je een verschillend gedrag kan spotten met firewall aan of uit.

[ Voor 50% gewijzigd door Orion84 op 05-05-2010 15:24 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 5 mei 2010 16:07

Acties:
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
Ik had al de halve ochtend lopen sniffen op alle interfaces maar kwam niets bijzonders tegen. Daarentegen heb ik het related, established gedeelte eruit gegooid en het werkt al 20 minuten zonder problemen.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 5 mei 2010 16:22

Acties:
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Je hebt dus de volgende aanpassing gedaan?
Van:
code:
1
2
3

#SSH (22) From LAN to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 22 -s 192.168.0.0/24 -d 192.168.0.1  -i LAN
iptables -A OUTPUT -j ACCEPT -p tcp --sport 22 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o LAN

Naar:
code:
1
2
3

#SSH (22) From LAN to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 22 -s 192.168.0.0/24 -d 192.168.0.1  -i LAN
iptables -A OUTPUT -j ACCEPT -p tcp --sport 22 -s 192.168.0.1 -d 192.168.0.0/24 -o LAN


Op zich wel opvallend dat connection tracking daar roet in het eten gooit. Wellicht dat er na 10 minuten een soort renegotiate vanaf de SSH server wordt geïnitieerd om nieuwe keys uit te wisselen of iets dergelijks wat gepaard gaat met een nieuwe connectie die niet opgevat wordt als ESTABLISHED of RELATED?[/wild idee]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 5 mei 2010 18:33

Acties:
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
Jep dat is precies wat ik heb gedaan. Ik heb alleen totaal geen idee waarom dit gebeurd. Jouw theorie klinkt wel plausibel dat de SSH een vorm van connectie initieert. Maar dat zou ook moeten beteken daar meer mensen hier last van hebben (gehad).

Nog een ander raar iets is dat de squid port redirect sporadisch niet werkt. Dan moet ik de clients hard instellen. Het SSH probleem deed zich al langer voor maar de port redirect is na de dist-upgrade van gisteren.

[ Voor 30% gewijzigd door battler op 05-05-2010 18:34 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq