Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-10-2019 13:21:27

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

SSH Timed out

Bonjour a tous

dans un local  (situé a 1h de chez moi donc accès physique restreint mais pas impossible ) j'ai deux serveur :

Serveur 1 :
Debian 9.5
ip local 192[...].1 (ip static)
acces SSH par le port xxxx  j'ai remplacé le port 22 pour limité les "attaque"

Serveur 2 :
Debian 10
ip local 192[...].2 (ip static )
accces ssh via le port yyyy

le tout derrière une BOX ozone
avec les redirection de port
tcp xxxx vers serveur 1
tcp yyyy vers serveur 2


voila maintenant que le décor est planté  lol
voici mon problème :-p

je contrôle ses deux serveur via SSH (ssh nom@ipWAN -p xxxx ou yyyy)
sauf que : a Distance je peut joindre le serveur 1 sans problème
mais pour le serveur 2 ca fini comme ca :

ssh: connect to host xxx.xxx.xxx.xxx port yyyy: Connection timed out



lorsque j’amène un pc en local je peut me connecté sur les deux serveur sans aucun probleme (ssh nom@iplocal -p xxxx ou yyyy)
sur les deux serveur les port sont ouvert dans iptables de la mème manière ... (chacun sur son port biensur)
lorsque de fait un

nmap ipWAN -p"xxxx" ou -p"yyyy"


le port xxxx me revient "open" alors que le port yyyy est "flitred"


je soupçonne encore mon FAI d'avoir fait un tour de cochon avec sa box a 0.05€.....

d'ou ma question.... Comment identifié le problème ?? pour savoir si ca vient de mon serveur ou de ma box roll

Hors ligne

#2 24-10-2019 16:01:31

raleur
Membre
Inscription : 03-10-2014

Re : SSH Timed out

Tu as vérifié le protocole (TCP), le port d'origine, l'adresse et le port de destination dans la règle de redirection ?
Le serveur 2 a la bonne route par défaut qui lui permet de communiquer avec l'extérieur ?
Pas de restriction sur l'adresse IP source dans les règles iptables ?

Aides au diagnostic :
- tcptraceroute depuis l'extérieur sur le port cense être redirigé
- capture de paquets sur le serveur avec tcpdump ou equivalent pendant qu'on essaie de se connecter pour voir si les paquets arrivent, sortent...

Il vaut mieux montrer que raconter.

Hors ligne

#3 25-10-2019 17:11:51

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

salut merci pour ta réponse big_smile
désolé de n'avoir répondu avant (semaine chargé ....)
les règles iptables sont OK
les redirection TCP sont OK sur la box (xxxx vers xxxx et yyyy vers yyyy)
lors d'un tcptraceroute les deux dernière ligne sont l'ip WAN de la box (les résultats identique sur le port xxxx et yyyy)

lorsque je fais un tcpdump depuis le client distant je n'ai aucun retour de paquet seulement des paquets envoyé :

$ sudo tcpdump  port yyyy
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp12s0f3u2, link-type EN10MB (Ethernet), capture size 262144 bytes
17:46:11.908441 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199008755 ecr 0,nop,wscale 7], length 0
17:46:12.922064 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199009769 ecr 0,nop,wscale 7], length 0
17:46:14.938057 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199011785 ecr 0,nop,wscale 7], length 0
17:46:19.066051 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199015913 ecr 0,nop,wscale 7], length 0
17:46:27.258058 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199024105 ecr 0,nop,wscale 7], length 0
17:46:43.386057 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199040233 ecr 0,nop,wscale 7], length 0
17:47:16.922108 IP liandeb.35682 > xxx.xxx.xxx.xxx.yyyy: Flags [S], seq 3690096175, win 64240, options [mss 1460,sackOK,TS val 3199073769 ecr 0,nop,wscale 7], len



xxx.xxx.xxx.xxx.yyyy étant l'ip WAN et le port


je vais pouvoir me rendre sur place demain si tout vas bien pour essayé de réglé le problème ... mais je ne sait pas de quel coté cherché ...
je vais essayé de redémarré la box .... normalement pas besoin mais elle est tellement POURRIE leur "box ozone" .... on sait jamais !!!
je veux changé de FAI mais pour le moment je suis bloqué .... :-( enfin c'est plus le sujet mdr...

Dernière modification par ahote (25-10-2019 17:12:56)

Hors ligne

#4 25-10-2019 18:29:14

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

petite précision j'ai aussi essayé de faire pasé par le serveur 1 pour me connecté au serveur 2

1) ssh pseudo@IpWan -pxxxx ---> OK
2) ssh pseudo@IpLocal -pyyyy --->timed out :-(
2bis) ssh pseudo@IpWan -pyyyy --->timed out :-(



ps; je vient de tombé suur ce post :
https://debian-facile.org/viewtopic.php?id=25502
sij'ai bien compris nftable a remplacé ipables depuis deb 10 ?

EDIT : petite question est ce que nftable est installé par défaut sous debian 10 ?
je ne connaissait pas nftable je me dit que peut être il tourne sans que je m'en soit aperçu ..... et bloque le port yyyy ..... crash.gif

Dernière modification par ahote (25-10-2019 18:37:54)

Hors ligne

#5 25-10-2019 19:39:41

raleur
Membre
Inscription : 03-10-2014

Re : SSH Timed out

ahote a écrit :

lors d'un tcptraceroute les deux dernière ligne sont l'ip WAN de la box (les résultats identique sur le port xxxx et yyyy)


On peut voir ?
C'est le résultat nominal : une ligne pour la box, et une ligne pour le serveur final.

ahote a écrit :

lorsque je fais un tcpdump depuis le client distant je n'ai aucun retour de paquet seulement des paquets envoyé :


En faisant quoi ? tcptraceroute ou ssh ?
Avec tcptraceroute, les réponses des routeurs intermédiaires (y compris la box) sont des paquets ICMP (type "time exceeded quand tout se passe bien). Seul le paquet de réponse finale du serveur devrait être un TCP SYN/ACK dans le cas d'un port ouvert, TCP RST dans le cas d'un port fermé (pas en écoute), et TCP RST ou ICMP dans le cas d'un port filtré. Si la box n'arrive pas à communiquer avec le serveur, elle peut renvoyer un ICMP "destination host unreachable".
Je pense que sur le client il vaudrait mieux capturer les paquets ayant l'adresse publique de la box.

ahote a écrit :

j'ai aussi essayé de faire pasé par le serveur 1 pour me connecté au serveur 2


Est-ce que les règles iptables des deux serveurs l'autorisent ?
Le time-out et l'absence totale de réponse semblent indiquer que la résolution ARP au moins se fait bien, à vérifier avec "ip neigh", et c'est au niveau du trafic IP que ça coince.

ahote a écrit :

nftable a remplacé ipables depuis deb 10 ?


Ça dépend de quoi on parle. Par défaut, le programme iptables utilise l'infrastructure nftables du noyau en mode de compatibilité au lieu de l'infrastructure iptables du noyau. Il reste possible de le reconfigurer pour utiliser l'infrastructure iptables du noyau comme avant.

ahote a écrit :

petite question est ce que nftable est installé par défaut sous debian 10 ?


Non, d'après mon expérience c'est encore iptables qui est installé par défaut.

ahote a écrit :

je ne connaissait pas nftable je me dit que peut être il tourne sans que je m'en soit aperçu


C'est le cas, mais ça devrait être transparent grâce à la couche de compatibilité avec iptables. Sauf si tes règles utilisent des correspondances ou des cibles incompatibles avec nftables.


Il vaut mieux montrer que raconter.

Hors ligne

#6 25-10-2019 20:15:31

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

C'est le résultat nominal : une ligne pour la box, et une ligne pour le serveur final


oui logique :-D

On peut voir ?


$ sudo tcptraceroute xxx.xxx.xxx.xxx-pyyyy
[sudo] Mot de passe de ahote : 
Running:
        traceroute -T -O info --sport=yyyy xxx.xxx.xxx.xxx
traceroute to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), 30 hops max, 60 byte packets
 1  _gateway (192.168.42.129)  0.401 ms  0.261 ms  0.202 ms
 2  10.8.0.1 (10.8.0.1)  52.958 ms  56.223 ms  39.746 ms
 3  192.168.253.30 (192.168.253.30)  40.426 ms  38.376 ms  40.052 ms
 4  192.168.255.54 (192.168.255.54)  39.954 ms  39.158 ms  39.802 ms
 5  194.149.164.104 (194.149.164.104)  39.928 ms  39.128 ms  152.040 ms
 6  194.149.166.9 (194.149.166.9)  26.778 ms  38.187 ms  39.929 ms
 7  194.149.166.38 (194.149.166.38)  40.900 ms  45.380 ms  39.915 ms
 8  194.149.171.66 (194.149.171.66)  39.923 ms  32.360 ms  61.957 ms
 9  ae2.mpr1.cdg11.fr.zip.zayo.com (64.125.14.37)  36.993 ms  42.261 ms  39.969 ms
10  69.80.96.38 (69.80.96.38)  39.830 ms  39.118 ms  37.966 ms
11  241-5.111.213.ozone.net (213.111.5.241)  41.999 ms  39.192 ms  39.854 ms
12  1-152.67.217.ozone.net (217.67.152.1)  45.472 ms  38.703 ms  38.953 ms
13  xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)  76.041 ms  79.016 ms  80.024 ms
14  xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) <syn,ack>  199.813 ms xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) <ack>  46.410 ms xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) <syn,ack>  39.177 ms
 



En faisant quoi ? tcptraceroute ou ssh ?



un ssh

Est-ce que les règles iptables des deux serveurs l'autorisent ?


je pense que oui mais pas sur ... il faudrait que je vérifie ....

Non, d'après mon expérience c'est encore iptables qui est installé par défaut.



iptables n’était pas présent, c'est moi qui l'ai installé

à vérifier avec "ip neigh",



tu veux que je vérifie quoi exactement ? (pas compris)

Dernière modification par ahote (25-10-2019 20:18:45)

Hors ligne

#7 25-10-2019 20:28:46

raleur
Membre
Inscription : 03-10-2014

Re : SSH Timed out

ahote a écrit :

traceroute -T -O info --sport=yyyy xxx.xxx.xxx.xxx


Ce n'est pas le port source qui doit être spécifié mais le port destination. Par défaut, je suppose que ça cible le port 80 (HTTP).

ahote a écrit :

u veux que je vérifie quoi exactement ?


Que tu exécutes cette commande sur le serveur 1 après le time out ssh (avec l'adresse privée) pour vérifier que l'adresse privée du serveur 2 est résolue en son adresse MAC. En fait tu peux remplacer ssh par n'importe quelle commande qui cible l'adresse privée, comme ping.

Dernière modification par raleur (25-10-2019 20:29:21)


Il vaut mieux montrer que raconter.

Hors ligne

#8 25-10-2019 20:45:14

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

Le port 80 est redirigé sur le serveur  1

Je ne connais pas l'adresse Mac du serveur  Par coeur mais a priori  c'est OK

192.168.8.2 dev eth0 lladdr adressemac STALE

Hors ligne

#9 25-10-2019 20:57:33

raleur
Membre
Inscription : 03-10-2014

Re : SSH Timed out

Tu pourrais faire une capture de paquets sur le serveur 1 pendant qu'il essaie de se connecter en SSH au serveur 2.
Et vérifie les règles iptables du serveur 1. Si le serveur 2 répond en SSH depuis une autre machine connectée au LAN, il n'y a pas de raison qu'il ne le fasse pas depuis le serveur 1.

Dernière modification par raleur (25-10-2019 20:59:41)


Il vaut mieux montrer que raconter.

Hors ligne

#10 25-10-2019 21:16:14

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

Je te fais tout  ca demain matin je serait  sur place ce sera  beaucoup plus simple
Je n'ai plis d'accès à  un pc pour  ce soir
Mais j'ai essayé  une capture de paquet avec termius sur le phone ca ne trouve aucun  paquet avec une connexion  ssh mais avec un ping

22:14:19.481574 IP 192.168.8.1 > 192.168.8.2: ICMP echo request, id 31199, seq 69, length 64
22:14:19.481971 IP 192.168.8.2 > 192.168.8.1: ICMP echo reply, id 31199, seq 69, length 64

Hors ligne

#11 25-10-2019 21:18:17

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

Ps: je n'ai pas essayé de me connecter du 1 sur le 2 en étant  sur place j'essaie demain  et je vérifie  mes règles  iptables  en même temps

Hors ligne

#12 26-10-2019 11:34:06

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

Bonjour
Je suis sur place


EDIT :
je peut me connecté via SSH du serveur 1 au serveur 2 c’était simplement les règles iptables du serveur 1 a mettre a jour


pour ce qui est de l'acces distant par contre c'est toujours pareil :-(

Dernière modification par ahote (26-10-2019 13:15:19)

Hors ligne

#13 26-10-2019 15:11:01

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : SSH Timed out

j'ai trouvé la coupable c'est bien ma box ...... (encore crash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gifcrash.gif)

j'ai ajouté le serveur en DMZ et ca passe crème !!!

je pensait avoir déja essayé la DMZ mais en fait non.... leur interface est assez mal faites du coup j'avais mal configuré la DMZ


par contre je ne suis pas fan de laissé un serveur comme ça sans protection autre que iptables et fail2ban
il faut vraiment que je change de FAI :-( !!! en attendant ça va resté comme ca .

Hors ligne

Pied de page des forums