Olá meu amigo... muito grato por sua atenção. 

   Fiz as confs do ssh e ficou legal o acesso... Sobre o centos 5, já esta na hora mesmo rsrsrsr Obrigado amigo e comunidade. 

<centos-pt-br-request@centos.org> escreveu no dia sábado, 15/02/2020 à(s) 09:00:
Enviar submissões para a lista de discussão CentOS-pt-br para
        centos-pt-br@centos.org

Para se cadastrar ou descadastrar via WWW, visite o endereço
        https://lists.centos.org/mailman/listinfo/centos-pt-br
ou, via email, envie uma mensagem com a palavra 'help' no assunto ou
corpo da mensagem para
        centos-pt-br-request@centos.org

Você poderá entrar em contato com a pessoa que gerencia a lista pelo
endereço
        centos-pt-br-owner@centos.org

Quando responder, por favor edite sua linha Assunto assim ela será
mais específica que "Re: Contents of CentOS-pt-br digest..."


Tópicos de Hoje:

   1. Re: SSH (Gabriel Franca)


----------------------------------------------------------------------

Message: 1
Date: Fri, 14 Feb 2020 10:11:02 -0300 (BRT)
From: Gabriel Franca <gabriel.franca@gmail.com>
To: "Portuguese (Brazilian) CentOS mailing list"
        <centos-pt-br@centos.org>
Subject: Re: [CentOS-pt-br] SSH
Message-ID:
        <622405734.187.1581685859307.JavaMail.gabriel@gabriel-Inspiron-5548>
Content-Type: text/plain; charset="utf-8"

Meu rei,


Vamos fatiar o trem para melhor entendimento.


Tem o firewall, depois do firewall você tem mais 2 servidores centos 5/6.
Olhando a regras do seu firewall achei apenas 1 regra de NAT:
# INTERNET - CORREIO
#
$IPTABLES -t nat -A POSTROUTING -p tcp -m multiport --dport 465,587,993,995 -o em1 -j SNAT --to-source 192.168.21.254
$IPTABLES -A FORWARD -m state --state NEW -p tcp -m multiport --dport 465,587,993,995 -j ACCEPT
#
Repare que nela não está a porta SSH 22.


Então se estiver acessando o ip externo ele vai bater no firewall e não nessas máquinas.


Tenta fazer um NAT da porta 2222 para a 22 de um desses servidores e valida.


Outra coisa, nas configurações do ssh no arquivos /etc/ssh/sshd_config e faça as seguintes alterações.


PermitRootLogin yes (altere para NO)
AllowUser Seu_usuario (caso tenha mais de um usuário coloque espaço entre eles.)


Depois reinicie o servidor /etc/init.d/sshd restart


Dessa forma apenas o usuário selecionado pode entrar no servidor via ssh aumentando e muito a segurança.


Uma ultima dica tá na hora de tirar o Centos 5 já não tem mais suporte!!!


atenciosamente,
Gabriel Franca
----- Mensagem original -----

De: "Janderson Jetto" <jsjetto@gmail.com>
Para: centos-pt-br@centos.org
Enviadas: Sexta-feira, 14 de Fevereiro de 2020 8:45:40
Assunto: [CentOS-pt-br] SSH


Bom dia amigos,


Estou tendo problemas com acesso externo via SSH. sempre usei as versões 5 e 6 do CentOS, porem os servidor2s Dell não aceitam mais, somente da 7 em diante.


Me conecto via OpenVpn e acesso novamente o servidor via SSH pela rede interna, quando vou direto pela internet pede usuario e senha e da erro de senha... mas a senha esta correta pois é a mesma que uso quando acesso pela OpenVpn...


Regras de firewall (IPTABLES) ok,
O range 200.0/24 é o alocado ao OpenVpn. Como podem ver fiz até uma regra somente para testes lkiberando o INPUT ao servidor vindo de qualquer origem $IPTABLES -A INPUT -m state --state NEW -j ACCEPT


Acredito ser alguma configuração no .conf do SSH, mas ali já não é muito a minha praia.. No CentOs5 e 6 nunca tive esse problema.


Fico muito grato pela ajuda de vcs.


#!/bin/sh --debug
###############################################################################
## Data 25/01/2020 - Janderson Jetto ##
## /etc/init.d/firewall ##
###############################################################################

#Variaveis
IPTABLES=/sbin/iptables
IFEXT=em1
IFINT=em2
VPN01=192.168.21.254
DARIUS=191.252.201.92
INTERNA= 192.168.21.0/24
DMZ= 10.10.21.0/24


######################

$IPTABLES -L -n | awk '/Chain/ {printf "iptables -F %s\n", $2;}'|/bin/sh
$IPTABLES -t nat -L -n | awk '/Chain/ {printf "iptables -t nat -F %s\n", $2;}'|/bin/sh
$IPTABLES -t mangle -L -n | awk '/Chain/ {printf "iptables -t mangle -F %s\n", $2;}'|/bin/sh
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Registro de LOGS
$IPTABLES -A INPUT -p tcp -j LOG --log-prefix "INPUT TCP: " --log-ip-options
$IPTABLES -A INPUT -p udp -j LOG --log-prefix "INPUT UDP: " --log-ip-options
$IPTABLES -A INPUT -p icmp -j LOG --log-prefix "INPUT ICMP: " --log-ip-options

$IPTABLES -A FORWARD -p tcp -j LOG --log-prefix "FORWARD TCP: " --log-ip-options
$IPTABLES -A FORWARD -p udp -j LOG --log-prefix "FORWARD UDP: " --log-ip-options
$IPTABLES -A FORWARD -p icmp -j LOG --log-prefix "FORWARD ICMP: " --log-ip-options

#Script Secundario
#source /usr/local/scripts/firewall/regras_usuario

################################################################################################
# #
# #
# ATENCAO NUNCA ALTERAR DESTA JANELA ACIMA. SE ALTERAR UMA VARIAVEL ALTERA TODO O SCRIPT #
#################################################################################################

# REGRAS USUARIOS

# GERENCIA
#
$IPTABLES -A INPUT -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -s 191.252.201.92 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -s 192.168.200.9 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -s 192.168.200.5 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -s 192.168.21.10 -p tcp --dport 22 -j ACCEPT
#
$IPTABLES -A FORWARD -m state --state NEW -s 192.168.200.5 -j ACCEPT
################################################################
#
# MANGLE
#
$IPTABLES -t mangle -A PREROUTING -d 192.168.0.0/16 -j RETURN
$IPTABLES -t mangle -A PREROUTING -d 172.16.0.0/12 -j RETURN
$IPTABLES -t mangle -A OUTPUT -d 192.168.0.0/16 -j RETURN
$IPTABLES -t mangle -A OUTPUT -d 172.16.0.0/12 -j RETURN
################################################################
#
# INTERNET - CORREIO
#
$IPTABLES -t nat -A POSTROUTING -p tcp -m multiport --dport 465,587,993,995 -o em1 -j SNAT --to-source 192.168.21.254
$IPTABLES -A FORWARD -m state --state NEW -p tcp -m multiport --dport 465,587,993,995 -j ACCEPT
#
################################################################
#
# PROXY
#
$IPTABLES -A INPUT -m state --state NEW -s $INTERNA -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -s $DMZ -p tcp --dport 3128 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 192.168.21.253 -o em1 -j SNAT --to-source 192.168.21.254
$IPTABLES -A FORWARD -m state --state NEW -s 192.168.21.253 -j ACCEPT
#
################################################################

_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br@centos.org
https://lists.centos.org/mailman/listinfo/centos-pt-br

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.centos.org/pipermail/centos-pt-br/attachments/20200214/5cfb4aeb/attachment-0001.html>

------------------------------

Subject: Legenda do Digest

_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br@centos.org
https://lists.centos.org/mailman/listinfo/centos-pt-br


------------------------------

Fim da Digest CentOS-pt-br, volume 128, assunto 2
*************************************************