Linux Debian Etch

Saludos a todos, tengo el siguiente problema, poseo una pc con debian etch pero quiero conactarme a el por el ssh desde fuera de mi red corporativa y no me deja, le hago el mapeo a los puertos y me dice que todos estan abiertos sobre todo el 22 que es el que se usa para la conexion por ssh y el mismo esta instalado en la pc, sera algun problema con el firewall, alguna sugerencia sera Bienvenida

¿Le puedes hacer ping?

Saludos

si, le hago ping y me responde pero cuando intento conectarme por el ssh por el putty que es lo que utilizo me dice que el servicio no esta disponible.

A ver si le haces un telnet al puerto 22 o al que estés utilizando como el del puerto de ssh. La otra opción es hacer un "ssh localhost" a ver si es alguna restricción, del tipo tcp wrappers o algo así.

Saludos

dejame comentarte algo, yo me conecto mediante mi red lan por el ssh a esa pc pero el log del sistema linux me dice que entro por (sshd) realmente no tengo mucha practica en linux y ni idea de lo que pueda ser, lo cierto es que no hay quien entre desde fuera y realmente necesito ese acceso.

saludos

Bueno entonces eso ya complica la cosa, porque veo que lo que quieres es acceder a una red LAN desde internet, ¿es eso? Si es así tienes que hacer un port forwarding en el enrutador o en el modem que estés usando así que si puedes ser más explicito acerca de qué tipo de direcciones IP estás usando en tu red local y supongo que todos los equipos salen con una dirección IP otra red WAN, mejor dicho cuéntamelo muy claro para que pueda ayudarte.

Saludos

ok te entendi y te explico

Mira tengo una red corporativa, tengo mi red lan y bueno el acceso a internet, pero de frente a internet tengo esa pc con linux debian etch, esa pc tiene ip real, nada que ver con la ip de la lan ya que es independiente

ejemplo la pc tiene 2 targetas de red

ip 1 de frente a internet 200.55.X.X
ip 2 para lan 192.168.1.254

accedo al linux por ssh por el putty port 22 normalmente accedo a la ip 192.168.1.254 perfectamente y sin problemas, pero cuando intento entrar por ssh a la ip 200.55.X.X es ahi cuando me dice que esta fuera de servicio y te adjunto lo que me dice el nmap sobre los puerto y juzga tu mismo a ver que opinas

Interesting ports on localhost (127.0.0.1):
Not shown: 1649 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
119/tcp open nntp
143/tcp open imap
443/tcp open https
540/tcp open uucp
635/tcp open unknown
953/tcp open rndc
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
6667/tcp open irc
8080/tcp open http-proxy
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k

espero te sirva de algo y puedas ayudarme

saludos

¿Y si le haces un ping a la ip pública te responde? Si le haces un traceroute ¿lo completa sin inconvenientes?No hacía falta ver el nmap, se nota que si está funcionando el servicio. ;)

Una recomendación, tienes muchos servicios "open" como finger que deberías cerrarlos porque a no ser que los necesites pueden ser de utilidad a algún hacker.

Saludos

bueno desde mi pc desde la lan si hace el trace route perfectamente, tendria que probar

Pues lo mejor es que pruebes externamente. Creo que sé qué es lo que quieres, si quieres conectarte a la ip pública desde la LAN la verdad no lo veo posible porque no son rutas compatibles.

Es algo confuso lo que buscas pero si sigues teniendo dudas no dudes en postearlas que para eso estamos acá.

Saludos

gracias por todo y mira probe la entrada desde otra red a mi ip publica o sea probe desde una ip 200.55.X.X a la mia 200.55.X.X y da netwrok conetion error time out, tambien intente desde mi pc a la otra ip y me dio el mismo error

saludos

A ver paso por paso. El servidor linux tiene dos tarjetas de red según te entendí. Una de ellas está mirando la red LAN, con dirección 192.x.x.x y la otra tarjeta de red está conectada a la red de internet u otra red WAN 200.x.x.x . Bueno hasta aquí todo claro ¿verdad?

Desde el interior de tu red LAN o sea desde cualquier PC que tenga la dirección 192.x.x.x puedes acceder por SSH a tu servidor linux.

Desde el exterior o sea una dirección de internet no puedes acceder. Creo que hasta ahi vamos bien ¿verdad?

Desde tu LAN puedes acceder sin ningún inconveniente, pero desde fuera no entonces intenta desde una máquina externa hacer un ping a la dirección IP de la tarjeta de red en cuestión. Si te contesta el ping le das el siguiente comando "telnet 200.55.x.x 22 " para mirar si desde fuera se ve abierto el puerto 22 de ssh. Por ahora esto es todo lo que te puedo decir.

Saludos

No se si esto te ayude, pero yo tuve un problema similar y el inconveniente era que mi ISP bloquea los puertos del 1 al 1000 o algo así, el caso es que el 80, 22, 21 y todos esos puertos "bajos" de uso común están bloquedados. Como realmente no me interesaba tener justamente esos puertos cambié el puerto del ssh a uno que estuviera sobre el 1000 (no estoy seguro si este es realmente el límite).

Saludos...

Lucifer esos puertos se llaman well known ports y van desde el puerto 0 hasta el 1023, por encima de ellos se utilizan puertos hasta el 65532, y los well known ports solamente los puede "abrir" el administrador.

Por eso te digo que le hagas un telnet al puerto 22 a ver si te responde. cualquier duda la comentas.

Saludos

No sabía que se llamaban así y sospechaba que el rango estaba por allí cerca.

En mi caso no estaban bloqueados desde el server, los bloqueo el ISP de la compañia, hay que solicitarle que los abra y todo el cuento.

Saludos.

saludos nuevamente, kovear, como cierro los puerto que tenga open y que no este utilizando? y bueno es posible que el port 22 este cerrado pero es que he intentado acceder a esa pc desde otra red externa y me dice network error time out...... que mas puedo hacer?

saludos

Tendrias que hacer un nmap a la ip publica del servidor desde otro equipo en internet, para ver que es lo que esta abierto.
Puede ser que tengas tcp-wrappers instalado y que este configurado para que solo puedas entrar a ssh por la LAN.
O puede ser que este configurado iptables para el mismo proposito.
Postea el resultado de los comandos

iptables-save
cat /etc/hosts.allow
cat /etc/hosts.deny

en el server.
Saludos.

# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5), hosts_options(5)
# and /usr/doc/netbase/portmapper.txt.gz
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and
# /usr/share/doc/portmap/portmapper.txt.gz for further information.
#

ns:~# cat /etc/hosts.deny
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
# See the manual pages hosts_access(5), hosts_options(5)
# and /usr/doc/netbase/portmapper.txt.gz
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper. See portmap(8)
# and /usr/doc/portmap/portmapper.txt.gz for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.

# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID


este es el resultado de los comandos que me diste AleSanchez

Pero lo curioso es que ese equipo te responde ping, Deberías configurar ssh para acceder a otro puerto desde fuera, puede ser posible que lo que dijera Lucifer sea cierto y tu ISP tenga bloqueados algunos puertos. Puedes probar a ponerlo en el puerto 2222 e intentar desde putty desde fuera de tu equipo.

Para cerrar los puertos de tu equipo simplemente tienes que terminar los procesos asociados con cada servicio, revisa uno por uno, la verdad es que aqui no tengo un equipo linux y no puedo decirte bien cómo se llaman los servicios pero de todos modos es cuestión de investigar un poco y dar de baja servicios como finger bueno la verdad no sé para qué estas usando ese equipo pero poco a poco lo primero es intentar acceder desde una red WAN a tu equipo.

Saludos

Y que dice el comando iptables-save?

esto es lo que me pone

efix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p tcp -m tcp --sport 10498 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p tcp -m tcp --dport 10498 -j DROP
-A DENY_PORTS -p tcp -m tcp --sport 10498 -j DROP
-A DENY_PORTS -p tcp -m tcp --dport 12754 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p tcp -m tcp --sport 12754 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p tcp -m tcp --dport 12754 -j DROP
-A DENY_PORTS -p tcp -m tcp --sport 12754 -j DROP
-A DENY_PORTS -p udp -m udp --dport 2049 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --sport 2049 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --dport 2049 -j DROP
-A DENY_PORTS -p udp -m udp --sport 2049 -j DROP
-A DENY_PORTS -p udp -m udp --dport 31337 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --sport 31337 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --dport 31337 -j DROP
-A DENY_PORTS -p udp -m udp --sport 31337 -j DROP
-A DENY_PORTS -p udp -m udp --dport 27444 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --sport 27444 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --dport 27444 -j DROP
-A DENY_PORTS -p udp -m udp --sport 27444 -j DROP
-A DENY_PORTS -p udp -m udp --dport 31335 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --sport 31335 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --dport 31335 -j DROP
-A DENY_PORTS -p udp -m udp --sport 31335 -j DROP
-A DENY_PORTS -p udp -m udp --dport 10498 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --sport 10498 -m limit --limit 5/min -j LOG --log-prefix "DENIED PORT:" --log-level 5
-A DENY_PORTS -p udp -m udp --dport 10498 -j DROP
-A DENY_PORTS -p udp -m udp --sport 10498 -j DROP
-A DST_EGRESS -d 172.16.0.0/255.240.0.0 -j DROP

-A EXTERNAL_INPUT -i eth1 -p tcp -j CHECK_FLAGS
-A EXTERNAL_INPUT -i eth1 -p ! icmp -j DENY_PORTS
-A EXTERNAL_OUTPUT -o eth1 -p tcp -j CHECK_FLAGS
-A EXTERNAL_OUTPUT -o eth1 -p ! icmp -j DENY_PORTS
-A INTERNAL_INPUT -s ! 192.168.1.0/255.255.255.0 -i eth0 -j DROP
-A INTERNAL_INPUT -i eth0 -p tcp -j CHECK_FLAGS
-A INTERNAL_INPUT -i eth0 -p ! icmp -j DENY_PORTS
-A INTERNAL_OUTPUT -d ! 192.168.1.0/255.255.255.0 -o eth0 -j DROP
-A INTERNAL_OUTPUT -o eth0 -p ! icmp -j DENY_PORTS
-A INTERNAL_OUTPUT -o eth0 -p tcp -j CHECK_FLAGS
-A KEEP_STATE -m state --state INVALID -j DROP
-A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
-A LO_INPUT -i lo -j ACCEPT
-A LO_OUTPUT -o lo -j ACCEPT

¿Estas seguro de que es todo?
Me parece que algo falta.
Y por la complejidad de la configuracion, apuesto a que el puerto esta cerrado el en firewall.

Saludos.

Y si te instalas el no-ip?

Es necesario tener una cuenta de http://www.no-ip.com/