<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: arial,helvetica,sans-serif; font-size: 10pt; color: #000000'><font face="arial, helvetica, sans-serif"><span style="font-size: 10pt;">Meu rei, </span></font><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><br></div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;">Vamos fatiar o trem para melhor entendimento.</div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><br></div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;">Tem o firewall, depois do firewall você tem mais 2 servidores centos 5/6.</div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;">Olhando a regras do seu firewall achei apenas 1 regra de NAT:<br><span style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);"># INTERNET - CORREIO</span><br style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);"><span style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);">#</span><br style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);"><span style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);">$IPTABLES -t nat -A POSTROUTING -p tcp -m multiport --dport 465,587,993,995 -o em1 -j SNAT --to-source 192.168.21.254</span><br style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);"><span style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);">$IPTABLES -A FORWARD -m state --state NEW -p tcp -m multiport --dport 465,587,993,995 -j ACCEPT</span><br style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);"><span style="font-family: "Times New Roman"; font-size: medium; background-color: rgb(255, 255, 255);">#</span><br>Repare que nela não está a porta SSH 22.</div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><br></div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;">Então se estiver acessando o ip externo ele vai bater no firewall e não nessas máquinas.</div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><br></div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;">Tenta fazer um NAT da porta 2222 para a 22 de um desses servidores e valida.</div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><br></div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;">Outra coisa, nas configurações do ssh no arquivos /etc/ssh/sshd_config e faça as seguintes alterações.</div><div style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><br></div><div><font face="arial, helvetica, sans-serif"><span style="font-size: 13.3333px;">PermitRootLogin yes (altere para NO)</span></font></div><div><font face="arial, helvetica, sans-serif"><span style="font-size: 13.3333px;">AllowUser Seu_usuario (caso tenha mais de um usuário coloque espaço entre eles.)</span></font></div><div><br></div><div>Depois reinicie o servidor /etc/init.d/sshd restart</div><div><br></div><div>Dessa forma apenas o usuário selecionado pode entrar no servidor via ssh aumentando e muito a segurança.</div><div><br></div><div>Uma ultima dica tá na hora de tirar o Centos 5 já não tem mais suporte!!!</div><div><br></div><div>atenciosamente,</div><div>Gabriel Franca</div><div><hr id="zwchr" style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 10pt;"><div style="color: rgb(0, 0, 0); font-family: Helvetica, Arial, sans-serif; font-size: 12pt; font-weight: normal; font-style: normal; text-decoration: none;"><b>De: </b>"Janderson Jetto" <jsjetto@gmail.com><br><b>Para: </b>centos-pt-br@centos.org<br><b>Enviadas: </b>Sexta-feira, 14 de Fevereiro de 2020 8:45:40<br><b>Assunto: </b>[CentOS-pt-br] SSH<br><br><div dir="ltr"> Bom dia amigos, <div><br></div><div> Estou tendo problemas com acesso externo via SSH. sempre usei as versões 5 e 6 do CentOS, porem os servidor2s Dell não aceitam mais, somente da 7 em diante. </div><div><br></div><div> Me conecto via OpenVpn e acesso novamente o servidor via SSH pela rede interna, quando vou direto pela internet pede usuario e senha e da erro de senha... mas a senha esta correta pois é a mesma que uso quando acesso pela OpenVpn... </div><div><br></div><div> Regras de firewall (IPTABLES) ok,</div><div> O range 200.0/24 é o alocado ao OpenVpn. Como podem ver fiz até uma regra somente para testes lkiberando o INPUT ao servidor vindo de qualquer origem
$IPTABLES -A INPUT -m state --state NEW -j ACCEPT
</div><div><br></div><div> Acredito ser alguma configuração no .conf do SSH, mas ali já não é muito a minha praia.. No CentOs5 e 6 nunca tive esse problema. </div><div><br></div><div> Fico muito grato pela ajuda de vcs. </div><div><br></div><div>#!/bin/sh --debug<br>###############################################################################<br>## Data 25/01/2020 - Janderson Jetto ##<br>## /etc/init.d/firewall ##<br>###############################################################################<br><br>#Variaveis<br>IPTABLES=/sbin/iptables<br>IFEXT=em1<br>IFINT=em2<br>VPN01=192.168.21.254<br>DARIUS=191.252.201.92<br>INTERNA=<a href="http://192.168.21.0/24" target="_blank">192.168.21.0/24</a><br>DMZ=<a href="http://10.10.21.0/24" target="_blank">10.10.21.0/24</a><br><br><br>######################<br><br>$IPTABLES -L -n | awk '/Chain/ {printf "iptables -F %s\n", $2;}'|/bin/sh<br>$IPTABLES -t nat -L -n | awk '/Chain/ {printf "iptables -t nat -F %s\n", $2;}'|/bin/sh<br>$IPTABLES -t mangle -L -n | awk '/Chain/ {printf "iptables -t mangle -F %s\n", $2;}'|/bin/sh<br>$IPTABLES -X<br>$IPTABLES -t nat -X<br>$IPTABLES -t mangle -X<br><br>$IPTABLES -P OUTPUT ACCEPT<br>$IPTABLES -P INPUT DROP<br>$IPTABLES -P FORWARD DROP<br><br>$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br># Registro de LOGS<br>$IPTABLES -A INPUT -p tcp -j LOG --log-prefix "INPUT TCP: " --log-ip-options<br>$IPTABLES -A INPUT -p udp -j LOG --log-prefix "INPUT UDP: " --log-ip-options<br>$IPTABLES -A INPUT -p icmp -j LOG --log-prefix "INPUT ICMP: " --log-ip-options<br><br>$IPTABLES -A FORWARD -p tcp -j LOG --log-prefix "FORWARD TCP: " --log-ip-options<br>$IPTABLES -A FORWARD -p udp -j LOG --log-prefix "FORWARD UDP: " --log-ip-options<br>$IPTABLES -A FORWARD -p icmp -j LOG --log-prefix "FORWARD ICMP: " --log-ip-options<br><br>#Script Secundario<br>#source /usr/local/scripts/firewall/regras_usuario<br><br>################################################################################################<br># #<br># #<br># ATENCAO NUNCA ALTERAR DESTA JANELA ACIMA. SE ALTERAR UMA VARIAVEL ALTERA TODO O SCRIPT #<br>#################################################################################################<br><br># REGRAS USUARIOS<br><br># GERENCIA<br>#<br><b>$IPTABLES -A INPUT -m state --state NEW -j ACCEPT</b><br>$IPTABLES -A INPUT -m state --state NEW -s 191.252.201.92 -j ACCEPT<br>$IPTABLES -A INPUT -m state --state NEW -s 192.168.200.9 -p tcp --dport 22 -j ACCEPT<br><b>$IPTABLES -A INPUT -m state --state NEW -s 192.168.200.5 -j ACCEPT</b><br>$IPTABLES -A INPUT -m state --state NEW -s 192.168.21.10 -p tcp --dport 22 -j ACCEPT<br>#<br>$IPTABLES -A FORWARD -m state --state NEW -s 192.168.200.5 -j ACCEPT<br>################################################################<br>#<br># MANGLE<br>#<br>$IPTABLES -t mangle -A PREROUTING -d <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> -j RETURN<br>$IPTABLES -t mangle -A PREROUTING -d <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a> -j RETURN<br>$IPTABLES -t mangle -A OUTPUT -d <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> -j RETURN<br>$IPTABLES -t mangle -A OUTPUT -d <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a> -j RETURN<br>################################################################<br>#<br># INTERNET - CORREIO<br>#<br>$IPTABLES -t nat -A POSTROUTING -p tcp -m multiport --dport 465,587,993,995 -o em1 -j SNAT --to-source 192.168.21.254<br>$IPTABLES -A FORWARD -m state --state NEW -p tcp -m multiport --dport 465,587,993,995 -j ACCEPT<br>#<br>################################################################<br>#<br># PROXY<br>#<br>$IPTABLES -A INPUT -m state --state NEW -s $INTERNA -p tcp --dport 3128 -j ACCEPT<br>$IPTABLES -A INPUT -m state --state NEW -s $DMZ -p tcp --dport 3128 -j ACCEPT<br>$IPTABLES -t nat -A POSTROUTING -s 192.168.21.253 -o em1 -j SNAT --to-source 192.168.21.254<br>$IPTABLES -A FORWARD -m state --state NEW -s 192.168.21.253 -j ACCEPT<br>#<br>################################################################<br></div></div>
<br>_______________________________________________<br>CentOS-pt-br mailing list<br>CentOS-pt-br@centos.org<br>https://lists.centos.org/mailman/listinfo/centos-pt-br<br></div><br></div></div></body></html>