Puncte:0

Redirecționarea portului de la distanță funcționează pe TCP/1194, dar nu și pe TCP/443, chiar dacă portul 443 de pe server nu este utilizat

drapel cn

Am o problemă ciudată.

Am adus un nou Linode care să acționeze ca un punct final de tunel.

Am reușit să redirecționez de la distanță portul 1194, așa că acum se conectează la linode-server@1194 cu succes la portul 1194 al mașinii mele și mă pot conecta la VPN-ul meu conectându-mă la portul 1194 de pe serverul meu linode.

Comanda de mai jos este ceea ce am folosit (cea care funcționează):

ssh -N -R 1194:localhost:1194 [email protected]

Acum vreau să port forward și 443. Am incercat asta:

ssh -N -R 443:192.168.1.122:443 [email protected]

Serverul meu local ascultă intenționat pe 192.168.1.122 (nu localhost).

Cu toate acestea, comanda de mai sus nu reușește să deschidă portul 443 pe server. Primesc eroarea de mai jos:

Avertisment: redirecționarea portului de la distanță a eșuat pentru portul de ascultare 443

Așa că am verificat pe serverul meu linode dacă ceva rulează pe portul 443. Nimic nu este:

utilizator@linode-server:~$ sudo netstat -tulpn
Conexiuni la internet active (numai servere)
Proto Recv-Q Trimitere-Q Adresă locală Adresă străină Stat PID/Nume program    
tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 7438/sshd: user       
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 411/systemd-resolve 
tcp 0 0 0.0.0.0:22 0.0.0.0:* ASCULTĂ 2377/sshd: /usr/sbi 
tcp 0 0 0.0.0.0:25 0.0.0.0:* ASCULTĂ 1513/master         
tcp6 0 0 :::1194 :::* ASCULTĂ 7438/sshd: utilizator       
tcp6 0 0 :::22 :::* ASCULTĂ 2377/sshd: /usr/sbi 
tcp6 0 0 :::25 :::* ASCULTĂ 1513/master         
udp 0 0 127.0.0.53:53 0.0.0.0:* 411/systemd-resolve 
utilizator@linode-server:~$ 

Nu există un soft-firewall pe server. Și firewall-ul Linode cloud a fost dezactivat, încă nu pot face asta.

Nu am absolut nicio idee de ce redirecționarea 443 nu funcționează.

P.S.- autentificarea utilizatorului funcționează foarte bine în timpul creării tunelului.

Nu sunt sigur dacă acest lucru va ajuta, dar sshd_config-ul meu arată astfel:

utilizator@linode-server:~$ cat /etc/ssh/sshd_config | grep -v „^#” | grep -v „^$”
Includeți /etc/ssh/sshd_config.d/*.conf
PermitRootLogin nr
PasswordAuthentication nr
PermitEmptyPasswords nr
ChallengeResponseAuthentication nr
Folosește PAM da
GatewayPorts da
X11 Redirecționare da
PrintMotd nr
AcceptEnv LANG LC_*
Subsistemul sftp /usr/lib/openssh/sftp-server
utilizator@linode-server:~$

Și pentru a clarifica, nu este nimic înăuntru /etc/ssh/sshd_config.d/

Forma de înregistrare sshd pe linode-server:

...
14 august 09:00:32 connect sshd[9499]: Cheie publică amânată pentru pi de la *HIDDEN: IP-ul meu public de acasă* portul 49180 ssh2 [preauth]
14 august 09:00:32 connect sshd[9499]: Cheia acceptată RSA *HIDDEN* găsită la /home/pi/.ssh/authorized_keys:1
14 august 09:00:32 connect sshd[9499]: cheie publică acceptată pentru pi de la *HIDDEN: IP-ul meu public public* portul 49180 ssh2: RSA *HIDDEN* 
14 august 09:00:32 connect sshd[9499]: pam_unix(sshd:session): sesiune deschisă pentru utilizatorul pi de (uid=0)
14 august 09:00:32 connect systemd-logind[578]: Noua sesiune 157 a utilizatorului pi.
14 august 09:00:32 connect sshd[9499]: copilul utilizator este pe pid 9579
14 august 09:00:32 connect sshd[9579]: bind [0.0.0.0]:443: Permisiune refuzată
14 august 09:00:32 connect sshd[9579]: eroare: bind [::]:443: Permisiune refuzată
14 august 09:00:32 conectați sshd[9579]: eroare: channel_setup_fwd_listener_tcpip: nu pot asculta portul: 443
...

De ce se refuză permisiunea? Comanda de redirecționare de la distanță pe care am folosit-o mai sus folosește același utilizator (atât pentru tunelul reușit, cât și pentru tunelul eșuat).

Tocmai găsit Aici că ar putea fi pentru că 443 este un port privilegiat. Acum nu vreau să folosesc utilizatorul root pentru a activa redirecționarea de la distanță pe 443. Am blocat serverul linode și nu pot fi conectat ca root (și nu vreau să permit autentificarea root). Conform linkului de mai sus, pot folosi setcap, pe serverul linode, dar cum o fac, deoarece comanda de deschidere a tunelului este de fapt rulată din localul meu. Care sunt alternativele mele? Știu că poate folosirea unui port mai mare pe serverul linode va funcționa, dar nu vreau să fac asta. Mi-ar plăcea foarte mult să fie portul 443, așa că nu trebuie să-mi amintesc portul.

drapel cn
Ați încercat și alte numere de port de nivel scăzut, de ex. 444?
Puncte:0
drapel cv

Problema este că nimic nu ascultă pe portul 443. Trebuie să existe un proces de ascultare pe portul 443 pentru ca tu să faci conexiuni la portul 443. Dacă te uiți la netstat, vei vedea că în prezent aveți un proces care ascultă pe portul. 1194, motiv pentru care conexiunile la portul 1194 reușesc. Trebuie să modificați acest proces pentru a asculta pe portul 443.

tcp 0 0 0.0.0.0:1194 0.0.0.0:* ASCULTĂ 7438/sshd: pi
drapel cn
Cred că ai greșit acolo, amice. Redirecționarea portului la distanță ssh ar trebui să deschidă 443. Vedeți 1194 deschis deoarece redirecționarea portului la distanță pentru 1194 a funcționat.
Puncte:0
drapel cn

Pe serverul local, a fost inițiată redirecționarea la distanță de la portul 8080 (port neprivilegiat)

ssh -N -R 8080:192.168.1.122:443 [email protected]

Pe linode-server, a instalat un instrument numit socat și a folosit comanda de mai jos pentru a redirecționa local de la 8080 la 443 pe serverul linode și funcționează acum :)

sudo socat TCP-LISTEN:443,furk TCP:0.0.0.0:8080
drapel cn
Dacă funcționează, acceptă-ți propriul răspuns!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.