Am o problemă ciudată.
Am adus un nou Linode care să acționeze ca un punct final de tunel.
Am reușit să redirecționez de la distanță portul 1194, așa că acum se conectează la linode-server@1194 cu succes la portul 1194 al mașinii mele și mă pot conecta la VPN-ul meu conectându-mă la portul 1194 de pe serverul meu linode.
Comanda de mai jos este ceea ce am folosit (cea care funcționează):
ssh -N -R 1194:localhost:1194 [email protected]
Acum vreau să port forward și 443. Am incercat asta:
ssh -N -R 443:192.168.1.122:443 [email protected]
Serverul meu local ascultă intenționat pe 192.168.1.122 (nu localhost).
Cu toate acestea, comanda de mai sus nu reușește să deschidă portul 443 pe server. Primesc eroarea de mai jos:
Avertisment: redirecționarea portului de la distanță a eșuat pentru portul de ascultare 443
Așa că am verificat pe serverul meu linode dacă ceva rulează pe portul 443. Nimic nu este:
utilizator@linode-server:~$ sudo netstat -tulpn
Conexiuni la internet active (numai servere)
Proto Recv-Q Trimitere-Q Adresă locală Adresă străină Stat PID/Nume program
tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 7438/sshd: user
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 411/systemd-resolve
tcp 0 0 0.0.0.0:22 0.0.0.0:* ASCULTĂ 2377/sshd: /usr/sbi
tcp 0 0 0.0.0.0:25 0.0.0.0:* ASCULTĂ 1513/master
tcp6 0 0 :::1194 :::* ASCULTĂ 7438/sshd: utilizator
tcp6 0 0 :::22 :::* ASCULTĂ 2377/sshd: /usr/sbi
tcp6 0 0 :::25 :::* ASCULTĂ 1513/master
udp 0 0 127.0.0.53:53 0.0.0.0:* 411/systemd-resolve
utilizator@linode-server:~$
Nu există un soft-firewall pe server. Și firewall-ul Linode cloud a fost dezactivat, încă nu pot face asta.
Nu am absolut nicio idee de ce redirecționarea 443 nu funcționează.
P.S.- autentificarea utilizatorului funcționează foarte bine în timpul creării tunelului.
Nu sunt sigur dacă acest lucru va ajuta, dar sshd_config-ul meu arată astfel:
utilizator@linode-server:~$ cat /etc/ssh/sshd_config | grep -v „^#” | grep -v „^$”
Includeți /etc/ssh/sshd_config.d/*.conf
PermitRootLogin nr
PasswordAuthentication nr
PermitEmptyPasswords nr
ChallengeResponseAuthentication nr
Folosește PAM da
GatewayPorts da
X11 Redirecționare da
PrintMotd nr
AcceptEnv LANG LC_*
Subsistemul sftp /usr/lib/openssh/sftp-server
utilizator@linode-server:~$
Și pentru a clarifica, nu este nimic înăuntru /etc/ssh/sshd_config.d/
Forma de înregistrare sshd pe linode-server:
...
14 august 09:00:32 connect sshd[9499]: Cheie publică amânată pentru pi de la *HIDDEN: IP-ul meu public de acasă* portul 49180 ssh2 [preauth]
14 august 09:00:32 connect sshd[9499]: Cheia acceptată RSA *HIDDEN* găsită la /home/pi/.ssh/authorized_keys:1
14 august 09:00:32 connect sshd[9499]: cheie publică acceptată pentru pi de la *HIDDEN: IP-ul meu public public* portul 49180 ssh2: RSA *HIDDEN*
14 august 09:00:32 connect sshd[9499]: pam_unix(sshd:session): sesiune deschisă pentru utilizatorul pi de (uid=0)
14 august 09:00:32 connect systemd-logind[578]: Noua sesiune 157 a utilizatorului pi.
14 august 09:00:32 connect sshd[9499]: copilul utilizator este pe pid 9579
14 august 09:00:32 connect sshd[9579]: bind [0.0.0.0]:443: Permisiune refuzată
14 august 09:00:32 connect sshd[9579]: eroare: bind [::]:443: Permisiune refuzată
14 august 09:00:32 conectați sshd[9579]: eroare: channel_setup_fwd_listener_tcpip: nu pot asculta portul: 443
...
De ce se refuză permisiunea? Comanda de redirecționare de la distanță pe care am folosit-o mai sus folosește același utilizator (atât pentru tunelul reușit, cât și pentru tunelul eșuat).
Tocmai găsit Aici că ar putea fi pentru că 443 este un port privilegiat. Acum nu vreau să folosesc utilizatorul root pentru a activa redirecționarea de la distanță pe 443. Am blocat serverul linode și nu pot fi conectat ca root (și nu vreau să permit autentificarea root). Conform linkului de mai sus, pot folosi setcap, pe serverul linode, dar cum o fac, deoarece comanda de deschidere a tunelului este de fapt rulată din localul meu. Care sunt alternativele mele? Știu că poate folosirea unui port mai mare pe serverul linode va funcționa, dar nu vreau să fac asta. Mi-ar plăcea foarte mult să fie portul 443, așa că nu trebuie să-mi amintesc portul.
