مشکل دسترسی از Internet

[{ AliReaza }]

سلام دوستان

من قصد دارم که Server خانگی که دارم را از Internet هم دسترسی داشته باشم.

قبلا ( بیش از یک سال پیش ) یادمه که مشکلی نداشتم و بدون هیچ تنظیمات خواستی فقط با زدن IP:Port دسترسی داشتم. اما الان نمی دونم مشکل چیه.

سیستم عامل اصلی که دارم باهاش کار می کنم Linux Mint 17.1 cinnamon 64bit هست.

برای امتحان در VirtualBox یک Ubuntu Server 14.04.2 LTS نصب کردم و تنظیمات شبکه را Bridged Adaptor قرار دادم.
از Modem هم 192.168.1.102 را برای Ubuntu Server تنظیم کردم.

از خط فرمان Linux Mint با SSH راحت به 192.168.1.102 دسترسی دارم و هیچ مشکلی نداره.

در Modem قسمت NAT تنظیم کردم که Port های 80 و 22 به 192.168.1.102 برن.

اما وقتی IP اصلی را در جاهای دیگر امتحان می کنم، هیچ جوابی دریافت نمی کنم.

آیا باید از ISP یک IP دریافت کنم؟ ( از صبانت استفاده می کنم. )

راستی دوستان IP Subnet Mask که از ISP دریافت کردم 255.255.255.255 هست، در حالی که شبکه داخلی در Modem تنظیم شده 255.255.255.0. آیا تاثیری داره؟
و نمی تونم 255.255.255.0 را در Modem به 255.255.255.255 تغییر بدم، چرا؟

[{ AliReaza }]

دوستان کسی نیست راهنمایی کنه؟ هنوز مشکلم پابرجاست.

[mohamad3218]

از طریق ssh مخواین به سیستمتون دسترسی پیدا کنید ؟

آیا ssh-server روی سرور فعال هست؟

[{ AliReaza }]

از طریق ssh مخواین به سیستمتون دسترسی پیدا کنید ؟

SSH و HTTP

آیا ssh-server روی سرور فعال هست؟

بله دوست عزیز
هم بر روی سیستم عامل اصلی ( Linux Mint 17.1 )
هم بر روی سیستم عامل مجازی ( Ubuntu Server 14.04.2 LTS )

[sajjadsec]

4 تا کار کن شاید درست شد :
1.توی مودمت پورت 22 رو از any روی ایپی لوکال سیستمت forward کن.
2.دستور ufw disable رو تحت روت اجرا کن که فایروال بره کنار این وسط.
3.کانفیگ sshd_config رو چک کن یه وفت listen رو لوکال نباشه و یا چیزی شبیه به این مورد رو توش مشاهده نکنی که اگه کردی هم عوضش کنی...
4.توی تنظیمات مودمت حالت dmz رو هم از any به ایپی لوکالت تغیر بده البته اینو بعد اینکه کارای بالا رو کردی و تست زدی بازم دسترسی نداشتی امتحان کن چون باعث میشه یه سری مشکل برای دسترسی به باقی سیستم های تحت شبکه ات پیش بیاد هم از بیرون به اونها هم از داخل دسترسی اونا به شما...

[{ AliReaza }]

1.توی مودمت پورت 22 رو از any روی ایپی لوکال سیستمت forward کن.

ScreenShot اول را مشاهده نمایید.

2.دستور ufw disable رو تحت روت اجرا کن که فایروال بره کنار این وسط.

انجام دادم.

3.کانفیگ sshd_config رو چک کن یه وفت listen رو لوکال نباشه و یا چیزی شبیه به این مورد رو توش مشاهده نکنی که اگه کردی هم عوضش کنی...

کد: [انتخاب]

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin without-password
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

4.توی تنظیمات مودمت حالت dmz رو هم از any به ایپی لوکالت تغیر بده البته اینو بعد اینکه کارای بالا رو کردی و تست زدی بازم دسترسی نداشتی امتحان کن چون باعث میشه یه سری مشکل برای دسترسی به باقی سیستم های تحت شبکه ات پیش بیاد هم از بیرون به اونها هم از داخل دسترسی اونا به شما...

ScreenShot دوم را مشاهده نمایید.
تنظیمات DMZ را میدونم برای چیه و هم الان و هم قبلا انجام دادم.


نتیجه کلی: مشکل پابرجاست

[sajjadsec]

dmz که الان disable هست که توی screenshot
اصولا تست شده dmz اگه فعال باشه روی http که اصلا نباید دیگه مشکلی باشه نیازی هم نیست برای http پورت رو forward کنید همون dmz باید کار کنه و اما ssh من به خاطر دارم رو سیستم شخصی یک بار این مشکل برام پیش اومده بود که router برای یه سری پورت ها حتی با فایروال disable شده دسترسی نمیداد به طور مثال اگه ایپی من رو در مرورگر از یه سیستم خارجی میزدید با فایروال disable هم بالا نمیومد (cisco) شما هم یه امتحان بکن برای عوض کردن پورت 22 و بعد باز هم امتحان کن.
اما http بعد از فعال شدن dmz اصولا باید کار کنه...

[{ AliReaza }]

ممنون دوست عزیز
در مورد DMZ در عکسی که گرفتم غیر فعال هست، اما فعالش هم کردم.
قبلا با همین Modem دسترسی داشتم. الان نمی دونم مشکل چیه.
حتی در حالت Live هم SSH نصب کردم و کار نکرد.
احتمال میدم که بخاطر ISP باشه. چون قبل با همین تنظیمات و Modem بدون مشکل وصل میشدم.

حالا بازم با یک Modem دیگه هم آزمایش می کنم و خبر میدم.

[sajjadsec]

خوب اگه حدسی که در مورد isp میزنید درست باشه که امکان درست بودنشم هست با عوض کردن مودم فرقی نمیکنه که...

[{ AliReaza }]

سلام مجدد

آقا من یک Modem دیگر هم وصل کردم و همین حکایت بود.
حتی به ISP هم زنگ زدم و مشکل را گفتم، و گفتند که مشکل از IP نیست و از تنظیمات هست.


برای آزمایش Desktop Sharing را فعال کردم و Port 5900 را هم باز کردم. به راحتی دسترسی دارم.

حالا مشکل از کجاست که نمی تونم به Portهای 22 و 80 دسترسی داشته باشم؟

نکته: با فعال کردن Desktop Sharing مشخص شد که Modem و IP مشکل ندارند.

اما در شبکه داخلی به راحتی به Portهای 22 و 80 دسترسی دارم.

چکار باید بکنم؟

[sajjadsec]

پورت های مورد نظر رو از خارج سیستم با این سرویس های اسکنر انلاین اسکن کنید ببینید پورت ها از اونجا دیده میشوند ؟

[{ AliReaza }]

پورت های مورد نظر رو از خارج سیستم با این سرویس های اسکنر انلاین اسکن کنید ببینید پورت ها از اونجا دیده میشوند ؟

بررسی کردم، فرقی نداره. فقط 5900 باز هست.

کد: [انتخاب]

http://www.yougetsignal.com/tools/open-ports

[sajjadsec]

خوب اگه پورت 22 و 80 با اون سایت که دادید چک شدن و بسته بودند مطمئا سیستم به نحوی پشت فایروال هست چه حالا فایروال سیستم چه فایروالی که روی روترتون هست چه ...
میشه چک کنید ببینید linuxmint از ufw استفاده میکنه یا firewalld ?
در هر صورت این دو پورت رو باید باز کنید در اونها

[sajjadsec]

یک چیز دیگه که بعید میدونم مشکل از این باشه AllowUsers رو موقتا به *@* تغیر بدید تست کنید که ایا فرقی میکنه ؟

[{ AliReaza }]

خوب اگه پورت 22 و 80 با اون سایت که دادید چک شدن و بسته بودند مطمئا سیستم به نحوی پشت فایروال هست چه حالا فایروال سیستم چه فایروالی که روی روترتون هست چه ...
میشه چک کنید ببینید linuxmint از ufw استفاده میکنه یا firewalld ?
در هر صورت این دو پورت رو باید باز کنید در اونها

خودم UFW نصب کردم و الان هم غیر فعال هست.
بطور کامل FireWall غیرفعال هست.

firewalld هم نصب نیست.

یک چیز دیگه که بعید میدونم مشکل از این باشه AllowUsers رو موقتا به *@* تغیر بدید تست کنید که ایا فرقی میکنه ؟

کجا باید تغییر بدم؟