Главная » Форум » Gentoo Linux » Общие вопросы

Вопрос по роутеру

veres 18 ноября, 2009 - 12:16

Помогите решить вопрос.
Есть роутер на gentoo который раздает интернет машинам в локальной сети.
На нем настроено и работает dhcp, ppp, squid, iproute2, есть к нему доступ по ssh
так вот, скажите плиз, как может посторонний человек не зная пароль root, не имеющий учетной записи в файле /etc/ppp/chap-secrets и pap-secrets(squid тоже работает только на внутреннюю сеть)подключиться к локальной сети например из дома и пользоваться интернетом

VPN отпадает, т.к. тогда в squid логах

дело в том, что от нас уволился человек, который делал этот роутер, а я в этом не сильно понимаю.

‹ localhost чере proxy[Решено] Eclipse/Hibernate [РЕШЕНО] ›
»

/

Автор Anarchist, дата создания 18 ноября, 2009 - 12:36.
veres написал(а):
дело в том, что от нас уволился человек, который делал этот роутер, а я в этом не сильно понимаю.

Доступ по ssh-извне?
Если человек делал это, то он с практически достоверной вероятностью знает регистрационные данные [по крайней мере одного] ppp-пользователя. Рекомендую внеплановую спему паролей :)

Далее: чтобы подключиться из дома необходим интырнет. Следовательно доступ с целью выхода в него исключаем.
Что здесь делает ppp --- не знаю. Распиши назначение/область применимости, если есть подозрения --- представь на рассмотрение.

А вот ssh и локалка --- да.
Рекомендую ревизию системных пользователей.
И запрет доступа извне для всех системных пользователей, имеющих пароль (доступ извне по ssh строго по ключу). Список пользователей, удостоенных такой привилегии: в лицах и на карандаш.

:wq
--
Live free or die

»

Дополню. Даже те, кто

Автор HolyBoy, дата создания 18 ноября, 2009 - 12:38.

Дополню.
Даже те, кто получает извне доступ по ключу, должны быть рассмотрены. Лучше всего сменить им всем ключи.

»

.

Автор Anarchist, дата создания 18 ноября, 2009 - 12:56.
HolyBoy написал(а):
Даже те, кто получает извне доступ по ключу, должны быть рассмотрены. Лучше всего сменить им всем ключи.

Смена ключей для доступа извне по ssh (у меня есть нехорошее подозрение, что список доступных сценариев авторизации не ограничен авторизацией по ключу) проходит в рамках (как частный случай) экстренной внеплановой смены паролей.

Ну и конечно: настройка логирования, в частности sshd. Вообще, раз пошла такая пьянка и надо озаботиться паранойей, то стоит принять меры к обеспечению невозможности изменения журнала (лога).

ЗЫ: Здесь ещё важно кто и как уволился (уволили?).

:wq
--
Live free or die

»

root для ssh forwarding не

Автор HolyBoy, дата создания 18 ноября, 2009 - 12:36.

root для ssh forwarding не обязателен. Посмотрите getent passwd на предмет имеющихся пользователей. Если есть пользователи с домашними директориями, посмотрите, что в них, не забывая про скрытые файлы. На периоод выяснения источника проблемы закройте доступ на ssh извне.

»

Спасибо за ответы... видимо

Автор veres, дата создания 18 ноября, 2009 - 17:24.

Спасибо за ответы... видимо все таки по ssh

а как закрыть доступ по ssh извне, чего-то в конфиге не нашел? А точнее нужно не закрыть извне, а разрешить только пользователям в локальной сети 192.168.0.10 - 192.168.0.254?

»

veres написал(а): а как

Автор WladS, дата создания 18 ноября, 2009 - 18:44.
veres написал(а):
а как закрыть доступ по ssh извне, чего-то в конфиге не нашел? А точнее нужно не закрыть извне, а разрешить только пользователям в локальной сети 192.168.0.10 - 192.168.0.254?

/etc/ssh/sshd_config -> ListenAddress (man sshd_config)
Или через iptables

Эгоист, это тот человек, которых думает о себе, вместо того, чтобы думать обо мне.
Ĉu vi komprenas min?

»

Неправильная постановка задачи

Автор Anarchist, дата создания 18 ноября, 2009 - 21:02.

Странный у тебя какой-то роутер... Куда всякий желающий (пусть даже реальный пользователь) может зайти по ssh...

Ты сначала должен был бы задаться вопросом: зачем (когда/где/насколько) нужен доступ извне по ssh?
Потом: можно ли этим пожертвовать?
Ну и завершающим этапом: запретить доступ по ssh извне всем, кроме ограниченного и проверенного списка пользователей, с авторизацией строго по ключу (ключевые носители --- предмет строгой отчётности, выдаются строго под роспись).

Ну и настройка логирования/анализ логов --- с целью выяснения кто/когда/чего.

:wq
--
Live free or die

»

это не у меня странный

Автор veres, дата создания 18 ноября, 2009 - 21:10.

это не у меня странный роутер. Я же писал, что его делал не я. Я вот пытаюсь исправить.

Помогите плиз подправить конфиг. Вообщем файл sshd_config
Раскомментировал строку ListenAddress и дописал 192.168.*.*
но рестарт sshd не прошел bad addr or host 192.168.*.*

вообщем мне нужно, чтоб через ssh можно было подключиться только из локальной сети, адреса в которой 192.168.0.10 - 192.168.0.254
т.е. если я подключусь через vpn к локалке, я смогу зайти через ssh и на роутер.
как правильно это сделать?

»

.

Автор Anarchist, дата создания 18 ноября, 2009 - 21:53.
veres написал(а):
это не у меня странный роутер. Я же писал, что его делал не я. Я вот пытаюсь исправить.

Здесь полезно местами задумываться на предмет: что/зачем делалось, в чём (и почему) не было доделано.

veres написал(а):
Помогите плиз подправить конфиг. Вообщем файл sshd_config
Раскомментировал строку ListenAddress и дописал 192.168.*.*
но рестарт sshd не прошел bad addr or host 192.168.*.*

Правильно пишет.
И вообще он какой-то у тебя очень вежливый :) Я бы на его месте на это и не такое сказал :)))
В качестве значения ListenAddress должен стоять полный IP-адрес, метасимволы не допускаются. Напиши там 192.168.0.XXX, где XXX --- адрес сервера в сети 192.168.0.0/24.

veres написал(а):
вообщем мне нужно, чтоб через ssh можно было подключиться только из локальной сети, адреса в которой 192.168.0.10 - 192.168.0.254

Этот момент лучше дополнительно проконтролировать посредством файрволла.
Про настройку файрволла... есть знающие получше меня.

veres написал(а):
т.е. если я подключусь через vpn к локалке, я смогу зайти через ssh и на роутер.
как правильно это сделать?

Как ты себе это представляешь? Я --- с трудом.
Хотя VPN также не является областью моей компетенции :)

:wq
--
Live free or die

»

Anarchist написал(а): Как ты

Автор veres, дата создания 18 ноября, 2009 - 22:06.
Anarchist написал(а):
Как ты себе это представляешь? Я --- с трудом.
Хотя VPN также не является областью моей компетенции :)

Представляю так. У меня есть логин и пароль на vpn соединение. Соединяюсь, моя например домашняя машина получает локальный ip адрес рабочий - а с локальных адресов будет разрешено коннектиться по ssh к роутеру. Понимаю, что если что-то случиться например с ppp то не смогу из дома соединиться, но это не важно... такое думаю бывает крайне редко.

»

veres написал(а): Представляю

Автор WladS, дата создания 19 ноября, 2009 - 11:11.
veres написал(а):
Представляю так. У меня есть логин и пароль на vpn соединение. Соединяюсь, моя например домашняя машина получает локальный ip адрес рабочий - а с локальных адресов будет разрешено коннектиться по ssh к роутеру. Понимаю, что если что-то случиться например с ppp то не смогу из дома соединиться, но это не важно... такое думаю бывает крайне редко.

Могу предложить посмотреть на ssh-tonnel (как это сделано у меня). man ssh на предмет ключика -L (существует виндовая реализация openssh) либо через putty. Работает как на виндовых так и на линуксовых клиентах.
ЗЫ Рекомендую также посмотреть в сторону fail2ban.

Эгоист, это тот человек, которых думает о себе, вместо того, чтобы думать обо мне.
Ĉu vi komprenas min?

»

Помогите плиз. У меня еще

Автор veres, дата создания 22 ноября, 2009 - 20:21.

Помогите плиз. У меня еще возник вопрос по поводу маршрутизации. Есть сеть из нескольких машин и роутер. Есть два провайдера. На роутере работает iproute2
В rt_tables добавлены 2 таблицы prio1 и prio2 lля 1 и 2 провайдера. Открываю файл /etc/conf.d/net

Правила настроены следующим образом

rules_eth1=(
"from 192.168.0.32/27 table prio1"
"tos reliability table prio1"
"from ${prov1_ip} table prio1"
)
rules_eth2=(
"from 192.168.0.16/28 table prio2"
"from 192.168.0.64/26 table prio2"
"from 192.168.0.128/25 table prio2"
"tos throughput table prio2"
"from ${prov2_ip} table prio2"

Отсюда видно, что подсети 192.168.0.16/28 ; 192.168.0.64/26 ; 192.168.0.128/25 должны выходить в интернет через провайдера 2, т.к. напротив них написано table prio2 , но реально через провайдера 2 ходит в инет только подсеть 192.168.0.128/25

Объясните что не так?

»

Так... немного не то. На

Автор veres, дата создания 22 ноября, 2009 - 22:30.

Так... немного не то. На машине с windows с ip адресом 192.168.0.67 т.е. из подсети 192.168.0.64/26 делаю tracert 2ip.ru к примеру...
видно, что идет через провайдера 2, как и должно быть... но, например на сайте 2ip.ru или speedtest.net показывает ip адрес 1 провайдера... почему так?

»

Есть мнение, что для

Автор Anarchist, дата создания 23 ноября, 2009 - 14:24.

Есть мнение, что для вопроса(ов?) по маршрутизации имеет смысл открыть отдельную тему.

:wq
--
Live free or die

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".