Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-02-16 23:01:34

  autominus - Nowy użytkownik

autominus
Nowy użytkownik
Zarejestrowany: 2024-02-16

Usługa sshd - nasłuchiwanie na dwóch interfejsach

Witam,
Mam mały problem ponieważ mam wirtualną maszynę, do której są przypisane dwie kart sieciowe.
Karta ens001 ma IP 10.20.50.100
Karta ens104 ma IP 10.25.40.200

Mam skonfigurowanego demona sshd jako że ma nasłuchiwać na adresie 0.0.0.0 oraz porcie 22. Jednak połączenie zdalne jest możliwe tylko i wyłącznie poprzez jedną kartę sieciową, a mianowicie ens104 [10.25.40.200] . Na drugi adres nie można się połączyć. Wydaje mi się, że demon przy ustawieniu nasłuchiwania na 0.0.0.0 powinien realizować połączenie na wszystkich dostępnych interfejsach. Czy może jestem w błędzie?

Kod:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 ens104
default         _gateway        0.0.0.0         UG    100    0        0 ens001
10.20.50.0      0.0.0.0         255.255.255.0   U     100    0        0 ens001
_gateway        0.0.0.0         255.255.255.255 UH    100    0        0 ens001
10.25.40.0      0.0.0.0         255.255.255.0   U     100    0        0 ens104
_gateway        0.0.0.0         255.255.255.255 UH    100    0        0 ens104
dns.intranet    _gateway        255.255.255.255 UGH   100    0        0 ens104
dns.intranet    _gateway        255.255.255.255 UGH   100    0        0 ens001
dns2.intranet   _gateway        255.255.255.255 UGH   100    0        0 ens104
dns2.intranet   _gateway        255.255.255.255 UGH   100    0        0 ens001

Jak skonfigurować usługę, żeby nasłuchiwała na wszystkich interfejsach?

Offline

 

#2  2024-02-17 08:40:52

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

Adres 0.0.0.0 wystarczy. Pokaż jeden z tych dwóch:

Kod:

# netstat -napletu | egrep -i ssh
# ss -napetu | egrep -i ssh

Online

 

#3  2024-02-17 14:41:39

  autominus - Nowy użytkownik

autominus
Nowy użytkownik
Zarejestrowany: 2024-02-16

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

Zamieszczam wyniki poleceń:

Kod:

debs@uni:~$ sudo netstat -napletu | egrep -i ssh
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          107327     25701/sshd: /usr/sb
tcp        0     64 10.20.40.200:22         10.17.18.10:65081       ESTABLISHED 0          267076     31962/sshd: admin

Kod:

debs@uni:~$ sudo ss -napetu | egrep -i ssh
tcp   LISTEN 0      128                              0.0.0.0:22                   0.0.0.0:*     users:(("sshd",pid=25701,fd=3)) ino:107327 sk:d cgroup:/system.slice/ssh.service <->
tcp   ESTAB  0      112                         10.20.40.200:22             10.17.18.10:65081   users:(("sshd",pid=32068,fd=4),("sshd",pid=31962,fd=4)) timer:(on,232ms,0) ino:267076 sk:1003 cgroup:/system.slice/ssh.service <->

Tak wygląda moja topologia:

Kod:

                        Host
                 +----------------+
Intranet <-----> |     ens001     |
                 |  10.20.50.100  |
                 |----------------|
                 |     ens104     |         +----------+         +----------+
                 |  10.25.40.200  | <-----> | Firewall | <-----> | Internet |
                 +----------------+         +----------+         +----------+

Wirtualna maszyna ma dwie karty ze względu, że podsieć na interfejsie ens001 nie ma wyjścia w świat.
Natomiast druga karta ens104 ma wyjście do świata, które jest po drodze filtrowane przez zaporę ogniową.
Na hoście będzie uruchomiony kontroler do zarządzania urządzeniami sieciowymi w podsieci 10.20.50.0/24 (Intranet), jednak wymaga on również dostępu do internetu, ze względu, że pobiera aktualizacje i sprawdza klucz licencyjny.

Ostatnio edytowany przez autominus (2024-02-17 15:02:49)

Offline

 

#4  2024-02-17 16:15:55

  autominus - Nowy użytkownik

autominus
Nowy użytkownik
Zarejestrowany: 2024-02-16

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

Jak próbuję się połączyć przez SSH na ens001, to w TCPDUMP widzę tylko ruch przychodzący. Myślę, że problem jest chyba w tablicy routingu bo mam ją jedną.

Czy czasem nie muszę stworzyć w systemie osobnych tablic routingu dla każdego interfejsu?

Offline

 

#5  2024-02-17 16:29:50

  thalcave - prawie jak admin

thalcave
prawie jak admin
Skąd: odległa galaktyka
Zarejestrowany: 2007-05-17

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

Tak na szybko wziąłem mojej wirtualce dodałem drugi interfejs sieciowy, przypisałem IP do niego i od tak SSH nasłuchuje i łączy po dwóch adresach IP.

Tabllica routingu dotyczy ruchu wychodzącego, nie przychodzącego.
Może podziel się konfiguracją demona SSH?
No chyba, że klient, którym próbujesz się połączyć na serwer ma problem z lokalizowaniem serwera/dostępem do niego.

Ostatnio edytowany przez thalcave (2024-02-17 16:31:18)


linux register user: 484281
"It's great to be here. It's great to be anywhere"
Keith Richards

Offline

 

#6  2024-02-17 17:53:35

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

No widać, że ssh nasłuchuje na każdym interfejsie. Więc konfiguracja ssh jest prawidłowa i powinien łapać zapytania na obu adresach IP. A ping na oba adresy lata?

Online

 

#7  2024-02-17 23:15:39

  autominus - Nowy użytkownik

autominus
Nowy użytkownik
Zarejestrowany: 2024-02-16

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

Tak, diagnozując dalej doszedłem do tego, że rzeczywiście demon nasłuchuje na obu interfejsach. Problem leży w tablicy routingu.

Zapewne we wpisach:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 ens104
default         _gateway        0.0.0.0         UG    100    0        0 ens001

Analizując ruch za pomocą TCPDUMP widzę, że mam pakiety ICMP przychodzące na kartę ens001, ale odpowiedzi wychodzą przez kartę ens104. Czyli zgodnie z pierwszym wpisem w hierarchii tablicy routingu:

Kod:

default         _gateway        0.0.0.0         UG    100    0        0 ens104

Powiem szczerze, że pierwszy raz się spotkałem z takim przypadkiem i cały czas myślę jak rozwiązać ten problem.
Może jakoś za pomocą IPTABLES markować ruch, żeby pakiety wychodziły interfejsem z którego było inicjowane/przychodzące połączenie?

Offline

 

#8  2024-02-18 00:05:29

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Usługa sshd - nasłuchiwanie na dwóch interfejsach

A pokaż:

Kod:

# ip route show

Rzuć sobie okiem na ten artykuł. Tam co prawda trochę inne zastosowanie ale sporo rzeczy jest wspólne.

Ostatnio edytowany przez morfik (2024-02-18 00:20:31)

Online

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)