SSH + UPNP == ? [RATKAISTU]

[Kupuntu]

Eli mulla on tässä nyt kyseessä iso onkelma. Tossa pöydällä on zyxelin ADSL laite. Siinä on UPNP tuki. Asentelin Ktorrentin, ja siinä sain tuon toimimaan. Mutta nyt olisikin kysymys, miten saisin niin, että koneen käynnistyessä SSHn lähtiessä päälle se käyttäisi UPNPtä niin, että saisin yhteyden ulkoapäin? Vai onko tuo edes mahdollista? Kaikki tiedonmuruset otetaan vastaan. PS: Ei ole mahdollista resetoida laitetta.

En ollut ihan varma mihin tämän pistäisi, mutta kai tässä jonkun näköinen skripti pitäisi väsätä. Modet saa siirtää jos väärään paikkaan.

EDIT: Sain toimimaan. Oli jäänyt tuo yksi portti sinne zyxelin asetuksiin, vaihdoin porttia ja nyt toimii. Sain jopa yhdistettyä SSHn. Kiitos kaikille auttajille.

[gdm]

Sulla taisi olla kubuntu alla...

Koodia: [Valitse]

gksudo kate /etc/ssh/sshd_config

Koodia: [Valitse]

# What ports, IPs and protocols we listen for
Port 8000   <---- tuohon haluttu portti, kannattaa muuttaa pois oletuksesta (22)
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
ListenAddress 192.168.0.2   <--- tuohon koneen oma sisäverkon ip
IP-osoitteen saat selville näin

Koodia: [Valitse]

ifconfig eth0|grep inet|cut -d : -f2|cut -d " " -f1
tämä tehtu niin ssh käynnistetään uudelleen

Koodia: [Valitse]

sudo /etc/init.d/ssh restartja lopuksi vielä aukaiset portin zyxelin asetuksista, ja boottaat sen niin astuu voimaan

[mgronber]

Koodia: [Valitse]

# What ports, IPs and protocols we listen for
Port 8000   <---- tuohon haluttu portti, kannattaa muuttaa pois oletuksesta (22)
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
ListenAddress 192.168.0.2   <--- tuohon koneen oma sisäverkon ip

Itse jättäisin nuo tekemättä ja niiden sijasta tekisin asetukset:

Koodia: [Valitse]

PermitRootLogin no
AllowGroups admin

Ensimmäinen tuo hieman lisäturvaa siltä varalta että rootille lipsahtaa salasana. Jälkimmäinen puolestaan rajaa kirjautumisen vain admin-ryhmälle. Tarpeiden mukaan voi rajata kirjautumisen johonkin muuhunkin ryhmään mutta omassa käytössäni tuo on ollut riittävä rajaus ja käytännössä se tarkoittaa vain minua. Tuon ansiosta ei haittaa vaikka muilla ryhmän ulkopuolella olevilla käyttäjillä olisi heikkojakin salasanoja.

Lisäksi asentaisin paketin fail2ban jolla pienentäisin ssh-porttiin tulevista koputteluista aiheutuvia häiriöitä.

ja lopuksi vielä aukaiset portin zyxelin asetuksista, ja boottaat sen niin astuu voimaan

Tämä taisi olla alkuperäisin kysyjän ongelma sillä hänen kuvauksensa perusteella hän ei pääse buuttaamaan purkkiaan. Siksi hän kysyi miten kyseisen portin saisi avattua UPnP:n avulla.

[gdm]

PS: Ei ole mahdollista resetoida laitetta.

Jos vallan väärin en lue ^ ... 
Annoin nopeasti muutaman helpon ohjeen, tietoturvaa voi myöhemmin parantaa, kunhan perusasiat on ensiksi hallussa.

[mgronber]

PS: Ei ole mahdollista resetoida laitetta.

Jos vallan väärin en lue ^ ... 

Tuo on periaatteessa mahdollista tulkita kahdella tavalla. Itse tulkitsin sen niin että purkin asetuksia ei pääse muuttamaan, koska muuten varsinaisessa kysymyksessä ei olisi järkeä. Tämä voisi olla tilanne jos purkki on esimerkiksi firman omaisuutta, siihen on tehty säädöt valmiiksi vpn-yhteyttä varten ja asetusten muuttaminen on estetty salasanalla.

Jos asetuksia pääsee muuttamaan niin silloin tietysti ohjataan oikea portti Zyxelin läpi eikä turhan takia ruveta arpomaan UPnP:n kanssa.

Annoin nopeasti muutaman helpon ohjeen, tietoturvaa voi myöhemmin parantaa, kunhan perusasiat on ensiksi hallussa.

Miksi rajasit kuunneltavan osoitteen koneen sisäverkon osoitteeseen? Mitä hyötyä sillä saavutetaan?

Portin siirtäminen on sinänsä selvä asia, mutta sen hyöty on kyseenalainen.

[gdm]

minulla tuo ssh ei osaa kuunnella porttia XX ellei ole määritelty mikä osoite sitä käyttää 
varsinkin verkkopurkeilla joissa on palomuurit ja nat:it käytössä, helpottaa huomattavasti yhteyden luomista.

[mgronber]

minulla tuo ssh ei osaa kuunnella porttia XX ellei ole määritelty mikä osoite sitä käyttää 

Outoa. Oletuksenahan tuon pitäisi kuunnella kaikkia paikallisia osoitteita. Vai tarkoitatko että porttiasetus ei tule voimaan jollei asetuksista löydy ListanAddress-määrittelyä? Silloin osoitteena voisi käyttää oletusta eli 0.0.0.0 ja kokeilla toimiiko se. Tämä tietysti sillä oletuksella että sshd saa kuunnella kaikkia paikallisia osoitteita.

Alkuperäiselle kysyjälle saattoi myös löytyä apua: MiniUPnP client. Tuon avulla pitäisi onnistua porttiohjauksien tekeminen UPnP:n avulla.

[gdm]

@mgronber,
outoa, perin outoa oli minunkin ensivaikutelmat, mutta en saanut toimimaan jos, ListenAddress oli 0.0.0.0
ssh- ei osannut kuunnella verkkopurkkia ilman, että tuota oli määritelty (tai jotain sinne päin )

Varsinkin kun on verkkopurkin virittänyt melko pommivarmaksi, ja vielä iptables laitettu aika kireälle

[Kupuntu]

Asensin tuon miniupnpn, ja hyvältä näyttää. Huomenna kokeilen ja kerron lisää.

[Kupuntu]

Sain sitten tuon upnpcn laitettua koneelle. Mutta nyt tulee onkelma. Eli kun laittaa komennon niin tulee näin:

Koodia: [Valitse]

kupo@kupo-desktop:/usr/include/miniupnpc$ sudo upnpc -r 1337 TCP
upnpc : miniupnp test client. (c) 2006-2007 Thomas Bernard
Go to http://miniupnp.free.fr/ or http://miniupnp.tuxfamily.org/
for more information.
List of UPNP devices found on the network :
 desc: http://192.168.1.1:80/DeviceDescription.xml
 st: urn:schemas-upnp-org:device:InternetGatewayDevice:1

Found valid IGD : http://192.168.1.1:80/UD/?3
Local LAN ip address : xxxxxxxxxxxxx
ExternalIPAddress = xxxxxxxxxxxxx
AddPortMapping(1337, 1337, xxxxxxxxxxx) failed
GetSpecificPortMappingEntry failed.
external xxxxxxxxxxxxx:1337 is redirected to internal :
Ei toiminut myöskään normaalikäyttäjällä. Missähän on vika?

[mgronber]

Ei toiminut myöskään normaalikäyttäjällä. Missähän on vika?

Ovatko nuo "xxxxxxxxxxx" jonot oikeasti ohjelman tulostuksessa vai ovatko ne sinun tekemiäsi?

[Kupuntu]

Pistin ne siihen ip:n tilalle, koska ajattelin, että jos joku näkee ipn ja portin ja tietää että mulla on SSH niin ei hyvä.