<div dir="ltr"> Olá meu amigo... muito grato por sua atenção. <div><br></div><div> Fiz as confs do ssh e ficou legal o acesso... Sobre o centos 5, já esta na hora mesmo rsrsrsr Obrigado amigo e comunidade. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr"><<a href="mailto:centos-pt-br-request@centos.org">centos-pt-br-request@centos.org</a>> escreveu no dia sábado, 15/02/2020 à(s) 09:00:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Enviar submissões para a lista de discussão CentOS-pt-br para <br>
<a href="mailto:centos-pt-br@centos.org" target="_blank">centos-pt-br@centos.org</a><br>
<br>
Para se cadastrar ou descadastrar via WWW, visite o endereço<br>
<a href="https://lists.centos.org/mailman/listinfo/centos-pt-br" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
ou, via email, envie uma mensagem com a palavra 'help' no assunto ou<br>
corpo da mensagem para <br>
<a href="mailto:centos-pt-br-request@centos.org" target="_blank">centos-pt-br-request@centos.org</a><br>
<br>
Você poderá entrar em contato com a pessoa que gerencia a lista pelo<br>
endereço<br>
<a href="mailto:centos-pt-br-owner@centos.org" target="_blank">centos-pt-br-owner@centos.org</a><br>
<br>
Quando responder, por favor edite sua linha Assunto assim ela será<br>
mais específica que "Re: Contents of CentOS-pt-br digest..."<br>
<br>
<br>
Tópicos de Hoje:<br>
<br>
1. Re: SSH (Gabriel Franca)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Fri, 14 Feb 2020 10:11:02 -0300 (BRT)<br>
From: Gabriel Franca <<a href="mailto:gabriel.franca@gmail.com" target="_blank">gabriel.franca@gmail.com</a>><br>
To: "Portuguese (Brazilian) CentOS mailing list"<br>
<<a href="mailto:centos-pt-br@centos.org" target="_blank">centos-pt-br@centos.org</a>><br>
Subject: Re: [CentOS-pt-br] SSH<br>
Message-ID:<br>
<622405734.187.1581685859307.JavaMail.gabriel@gabriel-Inspiron-5548><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Meu rei, <br>
<br>
<br>
Vamos fatiar o trem para melhor entendimento. <br>
<br>
<br>
Tem o firewall, depois do firewall você tem mais 2 servidores centos 5/6. <br>
Olhando a regras do seu firewall achei apenas 1 regra de NAT: <br>
# INTERNET - CORREIO <br>
# <br>
$IPTABLES -t nat -A POSTROUTING -p tcp -m multiport --dport 465,587,993,995 -o em1 -j SNAT --to-source 192.168.21.254 <br>
$IPTABLES -A FORWARD -m state --state NEW -p tcp -m multiport --dport 465,587,993,995 -j ACCEPT <br>
# <br>
Repare que nela não está a porta SSH 22. <br>
<br>
<br>
Então se estiver acessando o ip externo ele vai bater no firewall e não nessas máquinas. <br>
<br>
<br>
Tenta fazer um NAT da porta 2222 para a 22 de um desses servidores e valida. <br>
<br>
<br>
Outra coisa, nas configurações do ssh no arquivos /etc/ssh/sshd_config e faça as seguintes alterações. <br>
<br>
<br>
PermitRootLogin yes (altere para NO) <br>
AllowUser Seu_usuario (caso tenha mais de um usuário coloque espaço entre eles.) <br>
<br>
<br>
Depois reinicie o servidor /etc/init.d/sshd restart <br>
<br>
<br>
Dessa forma apenas o usuário selecionado pode entrar no servidor via ssh aumentando e muito a segurança. <br>
<br>
<br>
Uma ultima dica tá na hora de tirar o Centos 5 já não tem mais suporte!!! <br>
<br>
<br>
atenciosamente, <br>
Gabriel Franca <br>
----- Mensagem original -----<br>
<br>
De: "Janderson Jetto" <<a href="mailto:jsjetto@gmail.com" target="_blank">jsjetto@gmail.com</a>> <br>
Para: <a href="mailto:centos-pt-br@centos.org" target="_blank">centos-pt-br@centos.org</a> <br>
Enviadas: Sexta-feira, 14 de Fevereiro de 2020 8:45:40 <br>
Assunto: [CentOS-pt-br] SSH <br>
<br>
<br>
Bom dia amigos, <br>
<br>
<br>
Estou tendo problemas com acesso externo via SSH. sempre usei as versões 5 e 6 do CentOS, porem os servidor2s Dell não aceitam mais, somente da 7 em diante. <br>
<br>
<br>
Me conecto via OpenVpn e acesso novamente o servidor via SSH pela rede interna, quando vou direto pela internet pede usuario e senha e da erro de senha... mas a senha esta correta pois é a mesma que uso quando acesso pela OpenVpn... <br>
<br>
<br>
Regras de firewall (IPTABLES) ok, <br>
O range 200.0/24 é o alocado ao OpenVpn. Como podem ver fiz até uma regra somente para testes lkiberando o INPUT ao servidor vindo de qualquer origem $IPTABLES -A INPUT -m state --state NEW -j ACCEPT <br>
<br>
<br>
Acredito ser alguma configuração no .conf do SSH, mas ali já não é muito a minha praia.. No CentOs5 e 6 nunca tive esse problema. <br>
<br>
<br>
Fico muito grato pela ajuda de vcs. <br>
<br>
<br>
#!/bin/sh --debug <br>
############################################################################### <br>
## Data 25/01/2020 - Janderson Jetto ## <br>
## /etc/init.d/firewall ## <br>
############################################################################### <br>
<br>
#Variaveis <br>
IPTABLES=/sbin/iptables <br>
IFEXT=em1 <br>
IFINT=em2 <br>
VPN01=192.168.21.254 <br>
DARIUS=191.252.201.92 <br>
INTERNA= <a href="http://192.168.21.0/24" rel="noreferrer" target="_blank">192.168.21.0/24</a> <br>
DMZ= <a href="http://10.10.21.0/24" rel="noreferrer" target="_blank">10.10.21.0/24</a> <br>
<br>
<br>
###################### <br>
<br>
$IPTABLES -L -n | awk '/Chain/ {printf "iptables -F %s\n", $2;}'|/bin/sh <br>
$IPTABLES -t nat -L -n | awk '/Chain/ {printf "iptables -t nat -F %s\n", $2;}'|/bin/sh <br>
$IPTABLES -t mangle -L -n | awk '/Chain/ {printf "iptables -t mangle -F %s\n", $2;}'|/bin/sh <br>
$IPTABLES -X <br>
$IPTABLES -t nat -X <br>
$IPTABLES -t mangle -X <br>
<br>
$IPTABLES -P OUTPUT ACCEPT <br>
$IPTABLES -P INPUT DROP <br>
$IPTABLES -P FORWARD DROP <br>
<br>
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br>
<br>
# Registro de LOGS <br>
$IPTABLES -A INPUT -p tcp -j LOG --log-prefix "INPUT TCP: " --log-ip-options <br>
$IPTABLES -A INPUT -p udp -j LOG --log-prefix "INPUT UDP: " --log-ip-options <br>
$IPTABLES -A INPUT -p icmp -j LOG --log-prefix "INPUT ICMP: " --log-ip-options <br>
<br>
$IPTABLES -A FORWARD -p tcp -j LOG --log-prefix "FORWARD TCP: " --log-ip-options <br>
$IPTABLES -A FORWARD -p udp -j LOG --log-prefix "FORWARD UDP: " --log-ip-options <br>
$IPTABLES -A FORWARD -p icmp -j LOG --log-prefix "FORWARD ICMP: " --log-ip-options <br>
<br>
#Script Secundario <br>
#source /usr/local/scripts/firewall/regras_usuario <br>
<br>
################################################################################################ <br>
# # <br>
# # <br>
# ATENCAO NUNCA ALTERAR DESTA JANELA ACIMA. SE ALTERAR UMA VARIAVEL ALTERA TODO O SCRIPT # <br>
################################################################################################# <br>
<br>
# REGRAS USUARIOS <br>
<br>
# GERENCIA <br>
# <br>
$IPTABLES -A INPUT -m state --state NEW -j ACCEPT <br>
$IPTABLES -A INPUT -m state --state NEW -s 191.252.201.92 -j ACCEPT <br>
$IPTABLES -A INPUT -m state --state NEW -s 192.168.200.9 -p tcp --dport 22 -j ACCEPT <br>
$IPTABLES -A INPUT -m state --state NEW -s 192.168.200.5 -j ACCEPT <br>
$IPTABLES -A INPUT -m state --state NEW -s 192.168.21.10 -p tcp --dport 22 -j ACCEPT <br>
# <br>
$IPTABLES -A FORWARD -m state --state NEW -s 192.168.200.5 -j ACCEPT <br>
################################################################ <br>
# <br>
# MANGLE <br>
# <br>
$IPTABLES -t mangle -A PREROUTING -d <a href="http://192.168.0.0/16" rel="noreferrer" target="_blank">192.168.0.0/16</a> -j RETURN <br>
$IPTABLES -t mangle -A PREROUTING -d <a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">172.16.0.0/12</a> -j RETURN <br>
$IPTABLES -t mangle -A OUTPUT -d <a href="http://192.168.0.0/16" rel="noreferrer" target="_blank">192.168.0.0/16</a> -j RETURN <br>
$IPTABLES -t mangle -A OUTPUT -d <a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">172.16.0.0/12</a> -j RETURN <br>
################################################################ <br>
# <br>
# INTERNET - CORREIO <br>
# <br>
$IPTABLES -t nat -A POSTROUTING -p tcp -m multiport --dport 465,587,993,995 -o em1 -j SNAT --to-source 192.168.21.254 <br>
$IPTABLES -A FORWARD -m state --state NEW -p tcp -m multiport --dport 465,587,993,995 -j ACCEPT <br>
# <br>
################################################################ <br>
# <br>
# PROXY <br>
# <br>
$IPTABLES -A INPUT -m state --state NEW -s $INTERNA -p tcp --dport 3128 -j ACCEPT <br>
$IPTABLES -A INPUT -m state --state NEW -s $DMZ -p tcp --dport 3128 -j ACCEPT <br>
$IPTABLES -t nat -A POSTROUTING -s 192.168.21.253 -o em1 -j SNAT --to-source 192.168.21.254 <br>
$IPTABLES -A FORWARD -m state --state NEW -s 192.168.21.253 -j ACCEPT <br>
# <br>
################################################################ <br>
<br>
_______________________________________________ <br>
CentOS-pt-br mailing list <br>
<a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a> <br>
<a href="https://lists.centos.org/mailman/listinfo/centos-pt-br" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-pt-br</a> <br>
<br>
-------------- Próxima Parte ----------<br>
Um anexo em HTML foi limpo...<br>
URL: <<a href="http://lists.centos.org/pipermail/centos-pt-br/attachments/20200214/5cfb4aeb/attachment-0001.html" rel="noreferrer" target="_blank">http://lists.centos.org/pipermail/centos-pt-br/attachments/20200214/5cfb4aeb/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Subject: Legenda do Digest<br>
<br>
_______________________________________________<br>
CentOS-pt-br mailing list<br>
<a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a><br>
<a href="https://lists.centos.org/mailman/listinfo/centos-pt-br" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
<br>
<br>
------------------------------<br>
<br>
Fim da Digest CentOS-pt-br, volume 128, assunto 2<br>
*************************************************<br>
</blockquote></div>