Bonjour,
Depuis une semaine j'essaie de me connecter à l’adresse IP publique de mon NAS qui est sous ubuntu server 16.04.3 . J'ai une livebox play avec la fibre. Voici tout ce que j'ai essayé :
Sur 192.168.1.1 : J'ai activé KMZ, j'ai ouvert les ports 22, 443, 81, j'ai créer un dynDNS NO-IP avec l'ip de mon NAS, j'ai mis une addresse fixe DHCP sur mon NAS.
Sur le NAS : J'ai installer noip2 (à partir du site de no-ip), j'ai essayer de rajouter dans /etc/ssh/sshd_config : "AllowUsers *@192.168.1.1" , j'ai essayé avec les iptables :
#!/bin/bash
iptables -F
#Allow over VPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
#Localhost
iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/8 -j ACCEPT
#VPN
iptables -A INPUT -s 123.123.123.123 -j ACCEPT
iptables -A OUTPUT -d 123.123.123.123 -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
#Default Deny
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
A l'aide de ce tuto : lien
mais quand je me connectais en local ou avec l'ip public j'avais "permission denied" quand j'entrais le mot de passe en ssh sur Putty
Donc pour me sortir de là j'ai dû purger openssh-server...
Voilà je crois que je n'ai rien oublié de ce que j'ai essayé.
Dite moi du coup s'il vous plaît s'y j'ai oublié une manip car
je désespère un peu sur la faisabilité du truc. Merci d'avance !
T'as bien redirigé les port de ta box vers le NAS ?
Aussi fait attention en mettant ton NAS accessible depuis l'extérieur, fait en sorte qu'il soit correctement sécurisé
Sur 192.168.1.1 : J'ai activé KMZ
DMZ tu veux dire ? Ce n'est pas une bonne idée à partir du moment ou ton firewall est correctement configuré. Là, tous les ports sont ouverts et si ton firewall est une passoire (mauvaise config), ça risque d'être dangereux.
Question con, mais dans le routeur, tu as bien renseigné l'ip 192.168... du serveur ? 2éme question con, le firewall est bien lancé ? Activation auto au démarrage ?
Désactive quelques minutes le firewall et réessaye de te connecter en ssh juste pour voir ce que ça donne, ça peut aussi venir du firewall mal configuré. En utilisant ton ip publique à l'instant du test.
Le 14 février 2018 à 19:09:31 squaria a écrit :
Bonjour,Depuis une semaine j'essaie de me connecter à l’adresse IP publique de mon NAS qui est sous ubuntu server 16.04.3
On va commencer par les checks habituels : as-tu une vague idée de comment sécuriser ce NAS, avant de l'ouvrir au monde entier?
Sur 192.168.1.1 : J'ai activé KMZ
Pas besoin de flanquer ton NAS en DMZ pour faire du SSH depuis l'extérieur, tout ce que tu gagnes à présent c'est qu'on peut le joindre sur toute la plage de ports existants depuis n'importe quelle IP externe.
j'ai ouvert les ports 22, 443, 81
OK pour le 22, maintenant explique-moi l'intérêt d'en ouvrir d'autres. Tu peux certes ouvrir un autre port et le rediriger vers le 22 de ton NAS mais dans ce cas n'en ouvre qu'un seul, tu vas pas mapper les 65534 ports possibles sur ce foutu SSH quand même, si ?
Sur le NAS : J'ai installer noip2 (à partir du site de no-ip),
Pas besoin, ta livebox devrait savoir updater tes redirections no-ip. Cherche un peu, c'est rarement bien loin des réglages DHCP etc.
j'ai essayer de rajouter dans /etc/ssh/sshd_config : "AllowUsers *@192.168.1.1"
Commence par laisser ton sshd_config tel qu'il est par défaut, normalement ça fait déjà le café.
, j'ai essayé avec les iptables :
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
...as-tu seulement une interface tun
de configurée? Sais-tu ce qu'est un VPN?...
iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/8 -j ACCEPT
Pas grand-chose à voir avec SSH ici mais passons
iptables -A INPUT -s 123.123.123.123 -j ACCEPT
iptables -A OUTPUT -d 123.123.123.123 -j ACCEPT
On va dire que tu sais ce que tu fais. J'espère.
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
OK là c'est la partie utile de tout ce merdier
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
Sinon ya un truc magique avec iptables c'est les politiques par défaut de chaines.
A l'aide de ce tuto : lien
mais quand je me connectais en local ou avec l'ip public j'avais "permission denied" quand j'entrais le mot de passe en ssh sur Putty
As-tu penser à lire un peu ce qui poppe dans les logs /var/log/auth.log lors de tes connexions?