[MASOCH-L] SSH e Samba via VPN IPSec - HELP

Rejaine Monteiro rejaine at bhz.jamef.com.br
Thu Apr 28 17:05:50 BRT 2016 

A primeira regra (input) vai aceitar a conexão de entrada ao ssh (input) 
na porta 22 ao servidor ssh.
A segunda regra (output) vai permitir enviar respostas do ssh para o 
cliente (output). Vários exemplos de firewall vc vai ver que liberam 
dessa forma para o ssh

http://www.cyberciti.biz/tips/linux-iptables-4-block-all-incoming-traffic-but-allow-ssh.html
http://www.thegeekstuff.com/2011/03/iptables-inbound-and-outbound-rules/

On 28-04-2016 16:59, Rejaine Monteiro wrote:
>
> mas é aí justamente que está o X da questão.. pois  já tive esse 
> problema. liberei ssh e conseguia conectar, mas nao conseguia executar 
> certos comandos .  só funcionou qdo fiz a liberação do sport também. 
> não sei explicar o motivo, mas foi isso q ocorreu por aqui...
>
> On 28-04-2016 16:56, Guilherme Boing wrote:
>> se houvesse problema de "sport", nem se quer conectaria.
>> chutaria que é ou o que o Vinicius citou ou algo parecido.
>>
>> 2016-04-28 16:55 GMT-03:00 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>>
>>> tente criar a seguinte regra no seu firewall, liberando ssh na dport e
>>> sport, exemplo:
>>>
>>> iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state
>>> NEW,ESTABLISHED -j ACCEPT
>>> iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state 
>>> ESTABLISHED
>>> -j ACCEPT
>>>
>>>
>>>
>>> On 28-04-2016 16:49, Rejaine Monteiro wrote:
>>>
>>>> pode ser algo relacionado então a firewall.. lembro uma vez, mesmo
>>>> liberando o ssh (--dport 22),  q tive q liberar a também a porta de 
>>>> retorno
>>>> (--sport 22) para conseguir trabalhar normalmente.. não lembro 
>>>> exatamente o
>>>> motivo...
>>>>
>>>>
>>>> On 28-04-2016 16:36, Eduardo Rigler wrote:
>>>>
>>>>> Olá Rejaine,
>>>>>
>>>>> Não há nada específico na configuração sshd, não estou entrando com
>>>>> chaves
>>>>> criptografadas nem nada, senha pura mesmo. Executei com a opção -v 
>>>>> e não
>>>>> deu erro algum, lembrando que ele conecta normalmente mas "congela"
>>>>> depois
>>>>> de um tempinho, mas só em um dos sentidos (e em todos os hosts 
>>>>> linux da
>>>>> rede em questão).
>>>>>
>>>>> Refiz um teste bem simples conectando de um servidor samba ao outro
>>>>> servidor samba via ssh:
>>>>>
>>>>> - Servidor na rede 192 acessando o da rede 10 = conectou numa boa, 
>>>>> dei
>>>>> meia
>>>>> dúzia de ls e du -hs e quando dei um "top" congelou antes de 
>>>>> completar a
>>>>> lista de processos na tela.
>>>>> - Servidor na rede 10 acessando o da rede 192 = working like a 
>>>>> charm por
>>>>> horas e horas.
>>>>>
>>>>> Apesar ter começado por ele e de não ter encontrado nenhuma regra
>>>>> relevante
>>>>> que pudesse causar isso no pfsense que é gateway da rede 192 começo a
>>>>> achar
>>>>> que o problema/bloqueio realmente está nele.
>>>>>
>>>>> []'s
>>>>>
>>>>>
>>>>>
>>>>> Em 28 de abril de 2016 16:15, Rejaine Monteiro 
>>>>> <rejaine at bhz.jamef.com.br
>>>>> escreveu:
>>>>>
>>>>> qual sua configuração do ssh_config?
>>>>>> tente executar o ssh com a opção -v para ver se aparece algum erro
>>>>>>
>>>>>>
>>>>>> On 28-04-2016 16:12, Eduardo Rigler wrote:
>>>>>>
>>>>>> Olá Danton,
>>>>>>> Apesar de ter um sensor de ping em meu monitoramento deixei um 
>>>>>>> console
>>>>>>> em
>>>>>>> background na estação dentro da rede 192 em que estou mitigar e não
>>>>>>> adiantou.
>>>>>>>
>>>>>>>
>>>>>>> Dados que talvez sejam relevantes:
>>>>>>>
>>>>>>> - Descobri há pouco que o problema com ssh está acontecendo para 
>>>>>>> ambas
>>>>>>> as
>>>>>>> redes 10.x.x.x.x. Após logar e mexer um pouco logo a sessão pára de
>>>>>>> responder também, basta dar um "top" que nem chega a completar a 
>>>>>>> tela
>>>>>>> com
>>>>>>> os processos
>>>>>>>
>>>>>>> - O processo inverso está funcionando normalmente, ou seja,
>>>>>>> computadores
>>>>>>> das redes 10.x.x.x conseguem trabalhar remotamente na rede 
>>>>>>> 192.x.x.x,
>>>>>>> enviando e recebendo arquivos, o contrário apenas por um curto 
>>>>>>> período
>>>>>>> e
>>>>>>> pára.
>>>>>>>
>>>>>>> - Consigo enviar/receber arquivos entre todas as redes por 
>>>>>>> máquinas com
>>>>>>> Windows.
>>>>>>>
>>>>>>> - O circuito da rede 192 é GVT/Vivo (dedicado), nas redes 
>>>>>>> 10.x.x.x.x
>>>>>>> são
>>>>>>> Algar, os túneis IPSec não caem em momento algum.
>>>>>>>
>>>>>>> []'s
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Em 28 de abril de 2016 15:00, Danton Nunes 
>>>>>>> <danton.nunes at inexo.com.br>
>>>>>>> escreveu:
>>>>>>>
>>>>>>> On Thu, 28 Apr 2016, Eduardo Rigler wrote:
>>>>>>>
>>>>>>>> Começo a pensar que pode ser alguma coisa no tunel IPSec, 
>>>>>>>> apesar de
>>>>>>>> ter
>>>>>>>>
>>>>>>>> utilizado a mesma "receita" (chaves, etc) que já deu certo nas 
>>>>>>>> outras
>>>>>>>>> pontas e do enlace efetivamente não cair em momento algum o 
>>>>>>>>> pfsense
>>>>>>>>> nessa
>>>>>>>>> rede 192 roda em uma versão nano/cf/usb/whatever e o 
>>>>>>>>> processamento
>>>>>>>>> fica
>>>>>>>>> alto na maior parte do tempo.... Usei AES256, SHA256, DH em 
>>>>>>>>> 1024bits
>>>>>>>>> e
>>>>>>>>> por
>>>>>>>>> aí vai... talvez tenha que aliviar um pouco para esta rede....
>>>>>>>>>
>>>>>>>>> uma ideia de jerico mas que pode dar certo: mantenha pings com
>>>>>>>>> intervalo
>>>>>>>>>
>>>>>>>> de alguns segundos rodando em background, para manter os túneis
>>>>>>>> "acordados".
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>> __
>>>>>>>>
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>> -- 
>>>>>> Rejaine da Silveira Monteiro
>>>>>> Suporte-TI
>>>>>> Tel: (31) 2102-8854
>>>>>> rejaine at bhz.jamef.com.br
>>>>>> www.jamef.com.br
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>
>>> -- 
>>> Rejaine da Silveira Monteiro
>>> Suporte-TI
>>> Tel: (31) 2102-8854
>>> rejaine at bhz.jamef.com.br
>>> www.jamef.com.br
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>

-- 
Rejaine da Silveira Monteiro
Suporte-TI
Tel: (31) 2102-8854
rejaine at bhz.jamef.com.br
www.jamef.com.br

More information about the masoch-l mailing list