1

Onderwerp: sshd werkt in Hyper-V niet (goed)

Vrienden, HELP!
ik heb in Hyper-V op Windows 10 Ubuntu server geïnstalleerd. Het is even niet anders, op het werk krijg ik alleen windows en hyper-v te verteren. Hebben jullie geen medelijden met me? Zal best.

Efin, ik heb het volgende firewall script gedraaid.
#! /bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DAEMON=/sbin/iptables

iptables=/sbin/iptables
int_if=eth0   
int_ip=10.0.0.55

    $iptables -A INPUT -i $int_if -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    $iptables -A OUTPUT -o $int_if -p tcp --sport 22 -m state --state ESTABLISHED  -j ACCEPT

    # default
    $iptables -P INPUT   DROP
    $iptables -P FORWARD DROP
    $iptables -P OUTPUT  DROP
Welnu, als ik doe ssh 127.0.0.1 of ssh 10.0.0.55 dan geen verbinding, doe ik ssh localhost dan krijg ik wel verbinding.

Ik zal waarschijnlijk wel weer een uiterst eenvoudige oplossing over het hoofd zien. Ik heb het sriptje gebruikt op me pc met gewoon lubuntu en daar werkte het wel. Ps. sshd draait.

Wie? Alvast bedankt, Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

Re: sshd werkt in Hyper-V niet (goed)

Oh ja, de default regels ervoor zetten geeft hetzelfde resultaat.

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

Re: sshd werkt in Hyper-V niet (goed)

Wat ik niet zo goed snap is waarom je default al het output verkeer wil droppen.
Ik zou eerder:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP 

gebruiken

D e b i a n

4 Laatst bewerkt door devtroll (27 Feb 2015 14:38:56)

Re: sshd werkt in Hyper-V niet (goed)

Maarten, wat je zegt dat klopt niet.

De een is een uitzondering op de default policy. Standaard begint de output zo:


*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [355576:52164163]
:TCP - [0:0]
:UDP - [0:0]


Het is zeer belangrijk om te weten wat je default policy is en dan pas uitzonderingen te maken. Al wat het maar zo dat je direct weet wat er gebeurd als je je iptables flushed. Overigens drop jij nu bij default ook je verkeer en maak je daarvoor een uitzondering. Ik weet geen eens of het zo werkt met een iptables-restore.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

5 Laatst bewerkt door Pitmaster (27 Feb 2015 17:23:58)

Re: sshd werkt in Hyper-V niet (goed)

Maar hetzelfde kun je zeggen als je het omdraait. Dan accepteer je verkeer om het vervolgens bij default helemaal te blokken.

Wat ik ook probeer, het lijkt niet te lukken. Ik begin meer en meer te vermoeden dat het iets te doen heeft met Hyper-V en de manier waarop hij netwerkkaarten inricht. Dit is echt niet leuk.

Ik vind het zo raar dat ik ssh localhost wel kan laten werken en ssh 127.0.0.1 niet. Laat staan vanaf een andere pc.

En voor de duidelijkheid, als ik alles default op accept zet dan kan ik uiteraard wel op 10.0.0.55 ssh doen.

Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

Re: sshd werkt in Hyper-V niet (goed)

Mooi blokeer je ook jezelf van je computer?

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: sshd werkt in Hyper-V niet (goed)

devtroll schreef:

Mooi blokeer je ook jezelf van je computer?

Hoe bedoel je? Blokkeer je ook jezelf? Ik kan inloggen, is dat de vraag? Of? Wanneer ik OUTPUT DROP kan ik niet internet op uiteraard.

Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

8 Laatst bewerkt door Peter (27 Feb 2015 19:52:38)

Re: sshd werkt in Hyper-V niet (goed)

2 dingetjes:

moet je policy niet voor je rules? of is dat gewoon een autistische afwijking van mij?

voeg ff wat logging rules toe op het eind zodat je wat te zien krijgt in je logs

zoiets:
#       # log all the rest before dropping
       $iptables -A INPUT   -j LOG --log-prefix "IN "
       $iptables -A OUTPUT  -j LOG --log-prefix "OU "
       $iptables -A FORWARD -j LOG --log-prefix "FW "

NB
Dit zijn mijn (nou ja... ergens gevonden) SSH rules (incle rate limit voor script kiddies)
        # accept ssh connections (max 2/minute from the same IP address)
        $iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SH "
        $iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
        $iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT

Peter (aka Bilbo) geeft geen garantie op bestand- en padnamen, hij doet aan tab-completion.
http://bilbos-stekkie.com

9 Laatst bewerkt door devtroll (28 Feb 2015 08:41:50)

Re: sshd werkt in Hyper-V niet (goed)

By default worden inderdaad de policy rules voor de rest gedefineerd. Ik had ook even een -wtf is dit- moment. Hiernaast is het een gewoonte dat alles op 127.0.0.1 toegestaan wordt.
Overigens hoef je niets in je logs te willen zien. Je kan ook kijken met tcpdump, scheelt heel wat ruis in je log files.  Lees eerst maar het artikel van Bart http://home.nedlinux.nl/~bart/?page=3

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: sshd werkt in Hyper-V niet (goed)

Het schijnt dus werkelijk geen donder uit te maken wanneer je de default policies zet.

Ik heb een dual boot systeem met Windows 10 (als ik dan toch aan de Windows moet) en Hyper-V erop. Daarin ubuntu server 14.04 LTS. Nu daarin komt het probleem voor. De andere in mijn dual boot is Lubuntu, daarop heb ik VirtualBox gezet met een Debian geïnstalleerd.
En ja hoor, als ik gewoon de firewall op mijn Lubuntu test geen probleem. Ik kan dan gewoon ssh op de lokale netwerkkaart uitvoeren en dus ook vanaf een externe machine. Alleen op de Debian op VirtualBox.... Werkt het dus ook niet.

Het vermoeden begint dus meer en meer te rijzen dat het met de VM situatie te maken heeft.
Ik ga vanmiddag nog ff met tcpdump aan de slag, kijken of daar meer info vandaan komt, ik houd iedereen op de hoogte.

Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

Re: sshd werkt in Hyper-V niet (goed)

tcpdump werkt dus achter de firewall. Eerst verbinding leggen dan begint tcpdump te werken. Dus voor het checken van de verbinding heb je er niet veel aan. Vervolgens heb ik de firewallrules weg gehaald en een ssh verbinding gemaakt. Na verbinden begint tcpdump gegevens uit te spugen.

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:58:12.080548 ARP, Request who-has 10.0.2.3 tell debian.local, length 28
14:58:12.081020 ARP, Reply 10.0.2.3 is-at 52:54:00:12:35:03 (oui Unknown), length 46
14:58:12.081046 IP debian.local.40171 > 10.0.2.3.domain: 44327+ PTR? 15.2.0.10.in-addr.arpa. (40)
14:58:12.082615 IP debian.local.55059 > 10.0.2.3.domain: 37175+ PTR? 3.2.0.10.in-addr.arpa. (39)
14:58:12.121369 IP 10.0.2.3.domain > debian.local.40171: 44327 NXDomain 0/1/0 (99)
14:58:12.123800 IP 10.0.2.3.domain > debian.local.55059: 37175 NXDomain 0/1/0 (98)
14:58:12.225776 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 [2q] PTR (QM)? 15.2.0.10.in-addr.arpa. PTR (QM)? 3.2.0.10.in-addr.arpa. (48)
14:58:12.226302 IP debian.local.mdns > 224.0.0.251.mdns: 0 [2q] PTR (QM)? 15.2.0.10.in-addr.arpa. PTR (QM)? 3.2.0.10.in-addr.arpa. (48)
14:58:12.227080 IP debian.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (Cache flush) PTR debian.local. (60)
14:58:12.330271 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 A (QM)? debian.local. (30)
14:58:12.330625 IP debian.local.mdns > 224.0.0.251.mdns: 0 A (QM)? debian.local. (30)
14:58:12.331098 IP debian.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (Cache flush) A 10.0.2.15 (40)
14:58:13.226159 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 PTR (QM)? 3.2.0.10.in-addr.arpa. (39)
14:58:13.226496 IP debian.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 3.2.0.10.in-addr.arpa. (39)
14:58:15.229442 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 PTR (QM)? 3.2.0.10.in-addr.arpa. (39)
14:58:15.229866 IP debian.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 3.2.0.10.in-addr.arpa. (39)
14:58:17.126915 IP debian.local.37489 > 10.0.2.3.domain: 20072+ PTR? 15.2.0.10.in-addr.arpa. (40)
14:58:17.128740 IP 10.0.2.3.domain > debian.local.37489: 20072 NXDomain* 0/1/0 (99)
14:58:17.131925 IP debian.local.44932 > 10.0.2.3.domain: 25800+ PTR? b.f.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
14:58:17.172566 IP 10.0.2.3.domain > debian.local.44932: 25800 NXDomain 0/1/0 (160)
14:58:17.173634 IP debian.local.57612 > 10.0.2.3.domain: 5678+ PTR? 1.0.2.1.c.5.e.f.f.f.7.2.0.0.a.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa. (90)
14:58:17.298196 IP 10.0.2.3.domain > debian.local.57612: 5678 NXDomain 0/1/0 (149)
14:58:17.298907 IP debian.local.36125 > 10.0.2.3.domain: 43642+ PTR? 251.0.0.224.in-addr.arpa. (42)
14:58:17.338712 IP 10.0.2.3.domain > debian.local.36125: 43642 NXDomain 0/1/0 (99)
14:58:17.440473 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
14:58:17.440857 IP debian.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
14:58:18.442271 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
14:58:18.442643 IP debian.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
14:58:20.444413 IP6 fe80::a00:27ff:fe5c:1201.mdns > ff02::fb.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
14:58:20.444753 IP debian.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)

Dit is dus van de debian op vbox in lubuntu. Die heeft als ipadres 10.0.2.15. Het gekke is dat ik dat niet terug vind. Ik ben dus lokaal bezig he! Dus niet vanaf een andere pc. Ik vraag me dan af wat 10.0.2.3 in deze log doet?
Zou dit het nummer van VirtualBox zelf zijn? Dan twee vragen: waar kan ik dat terug zoeken en wat doet dat hier?

Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

Re: sshd werkt in Hyper-V niet (goed)

Is er iemand geweest die dit heeft geprobeert in een VM?

Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop

13

Re: sshd werkt in Hyper-V niet (goed)

Ten eerste heeft een vm voor netwerkverkeer een eigen ip adres nodig. In virtualbox wordt er speciaal subnet gegeven. Nu, je berichtgeving is niet altijd heel duidelijk. Mijn vermoede is dat je firewall geen masquerade toestaat. Doe eens ip addr in die vm. Een traceroute en een tcpdump daarnaast... of hef tijdelijk je firewall op. Mind you flushen is niet genoeg. Zet default policies op accept

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

14

Re: sshd werkt in Hyper-V niet (goed)

Ik heb op het werk problemen gehad met virtualbox op windows 7. In virtualbox had ik een CentOS installatie draaien en wilde daarop werken via ssh vanaf het windows-systeem (inloggen met putty). In virtualbox staat de netwerkkaart standaard op NAT, waarbij je poort 22 moet forwarden. Om in te loggen moet je het ip-adres van windows hebben (ipconfig), dus niet de 10.0.2.15 van virtualbox of de hostname van je windows-systeem. Dan nog wel even poort 22 in de firewall van CentOS openzetten. Daarna kon ik met putty inloggen.

-------------------------------------------------
Fedora 27 met Gnome 3
CentOS 7 als server

15

Re: sshd werkt in Hyper-V niet (goed)

Vaak nat je ssh door op de guest naar andere poort dan 22. Ik pak vaak 2200, zoals bij Vagrant. Dus schematisch:

Host 2200 -> guest 22
Guest 22 -> host 2200

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: sshd werkt in Hyper-V niet (goed)

Ik ben bang dat het voor het doel te ingewikkeld wordt.
Ik ga Ed zijn werkwijze uitwerken, voor mezelf, en voor het oorspronkelijke doel zoek ik een andere oplossing.

Nico

Nethserver op de server.
1 Ubuntu op desktop
1 Ubuntu op de laptop
1 Mint op desktop