Ubuntu-fr

Antoine P

Commander un poste depuis Internet avec SSH : configuration du pare-fe

Bonjour à tous,

J'ai découvert depuis peu la puissance du SSH. Or je souhaiterai contrôler mon PC à distance à partir d'un poste qui n'est pas en local.

Comment dois-je configurer mon poste et mes pares-feu (poste et Livebox)

Voici les champs demandés par la Livebox pour ajouter une exception au pare-feu (les champs auxquels je ne sais quoi répondre son en gras) :

Service : SSH
Protocole : TCP
Action : ACCEPT
Port d'origine (port ou port:port) :
Port de destination (port ou port:port) :
Adresse IP d'origine :
Adresse IP de destination :

Le pare-feu du poste à les paramètres par défaut

Voici le contenu du fichier /etc/ssh/sshd_config :

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no

Si possible, vous pouvez m'aider également sur les connexions avec clé publiques/clé privées

Je vous remercie par avance

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Brunod

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Il suffit de rediriger au niveau du routeur le port 22 vers l'ip du pc à contrôler. Ne pas toucher au reste.

---

Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Tu es chez quel opérateur ?
livebox=orange ? non ?
Donc Ip dynamique par défaut.

1/Etape DYNDNS

As-tu un compte dyndns ?
http://doc.ubuntu-fr.org/dns_dynamique
https://account.dyn.com/entrance/

Ensuite tu vas sur ta livebox et  renseigne l'onglet dyndns
Ta box est alors associée à un mondomaine.dyndns.tld

2/Etape DHCP

Ta machine serveur est sur le réseau privé en 192.168.1.x
Le mieux est de laisser le serveur dhcp actif et de réserver une adresse IP privéee par rapport à un adressage MAC.
Sur  ta machine, tu tapes au préalable

ifconfig | grep HWaddr
eth0      Link encap:Ethernet  HWaddr 00:11:17:d0:75:ca 

Ensuite, tu retourne sur la box, onglet DHCP et tu "réserves"
par exemple 192.168.1.5 à 00:11:17:d0:75:ca   
192.168.1.5 est réservé pour ta machine-serveur

2/Etape Redirections

Sur la Livebox, je ne sais pas comment s'appelle cet onglet
Nat, Redirections, Ouverture de ports ou ?
Ta machine serveur est sur le réseau privé en 192.168.1.x
En gros on redirige ce qui nous intéresse, ce qui arrive sur la *box vers la machine-serveur
tcp         22   192.168.1.5    par exemple ssh
....
tcp/udp  80   192.168.1.5    http en supposant que apache soit installé

3/Etape /etc/hosts

voir un autre topic

4/Etape Parefeu & Listen

Vérifiér si rien ne bloque.
g(ufw), iptables
...
sudo netstat -palute

Brunod

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

C'est très complet ! Respect Moi j'ai juste répondu à la question (posée) du pare-feu.

---

Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Antoine P

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Merci, je vais regarder tout cela

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Antoine P

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Vous savez, c'est à des fins de tests et d'utilisation occasionnelle, j'aimerais éviter de payer trop cher. Est-ce possible de le faire avec un nom de domaine en .tk ?

Merci d'avance

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Les Dyndns sont gratuits de base. Tu paies 0 euros.
Laisse tomber les Wilcard et  les formules Pro Dyndns.
N'achète pas également de domaines.fr, .com .net etc ...  .tld . Pour le moment, cela ne sert à rien.
Tu confonds les Domains et les Hosts.

https://account.dyn.com/entrance/
Une fois enregistré et que tu as confirmé par mail.
>Ton compte > My Hosts  > Add Hosts Services
Hostname      toto.dyndns.tld
Host with Ip Adress
Ip adress : Ton IP
Mail Routing : Rien

nslookup toto.dyndns.tld    (pour vérifier)

Avec un terminal client;
ssh antoine@toto.dyndns.tld

Antoine P

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Quand j'ouvre Add Hosts Services, j'ai ceci :

You currently do not have any DynDNS hosts. Try a free 14 day trial of DynDNS Pro - a great opportunity for users to test out one of our most popular services. You may keep one hostname free of charge for trying Pro.

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Et alors ?
Add Hosts > Tu crées un toto.dyndns.tld
La pérode d'utilsation est infinie tant que tu l'utilises, même pour un free dyndns.

Antoine P

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Je veux dire, je n'ai rien d'autre, pas même un formulaire ni un lien

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Brunod

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

En fait, ddns n'est plus gratuit que pour les comptes existants ou les nouveaux comptes pro après essais, mais il faut résilier avant la fin de l'essai le compte pro si on ne veut pas payer. Et pour s'inscrire, il faut une carte de crédit maintenant...
Donc le plus simple serait provisoirement d'utiliser les ip directement avec le ssh.

---

Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Merci beaucoup @Brunod

euh, je ne savais pas.
quelle misère ....
et cela fait combien de temps que dyndns a changé de politique ?
bon, j'espère que  no-ip , n'a pas fait la même chose ?

Apparemment, de loin, les free no-ip  existent toujours .
A toi, Antoine, d'ouvrir un compte.

tutoriel/comment_avoir_un_nom_de_domaine_sur_ip_dynamique_avec_no_ip

Edit; Doc

Dernière modification par Titouan (Le 27/01/2012, à 00:49)

Brunod

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Merci beaucoup @Brunod
...
et cela fait combien de temps que dyndns a changé de politique ?
...

Moi je l'ai constaté en décembre parce qu'un de mes routeur n'a pas fait sa màj et qu'en voulant le relancer en janvier, j'avais perdu le compte...
Le problème est surtout pour le hardware (modem) qui ne gère parfois que dyndns, et pas d'autres comme noip.
Mais je viens de trouver un palliatif avec les ip wan : je demande quotidiennement au serveur de m'envoyer un email avec son ip du jour.
En attendant mieux, je me connecte donc directement avec l'ip wan.

EDIT : pour Antoine P, il ne faut pas oublier qu'une fois le compte créé, il faut "réactiver" l'ip régulièrement du côté serveur; c'est pourquoi c'est intéressant lorsque c'est le modem qui le fait si le serveur n'est pas allumé en continu et donc qu'il ne sait pas le faire lui-même.

Dernière modification par Brunod (Le 27/01/2012, à 12:10)

---

Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Et oui, l'idéal pour dyndns et no-ip est de les avoir sur *box, modem-routeur.
Entièrement d'accord avec toi.

Mais bon, on peut avoir les daemons no-ip, dyndns sur la machine également.
Apparemment, no-ip écoute sur le port 8245.

Antoine P

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Je me suis enregistré. Quelle est la marche à suivre ?

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Tu vas sur ton compte noip
>Add Host
1/hostname.no-ip.tld,   choisis ce que tu veux
2/type A
3/no group
4/ rien en mx

Après, tu vas sur ta *box si tu as un onglet dyndns/noip . Cela dépend du matos que tu as.
>si oui, tu mets les identifiants de ton compte noip
login+password+hostname.no-ip.tld

>si non, tu installes le client noip2 sur ta machine
sudo apt-get install noip2
>tutoriel/comment_avoir_un_nom_de_domaine_sur_ip_dynamique_avec_no_ip

et retour à la case (#3) 2/Etape DHCP

Dernière modification par Titouan (Le 27/01/2012, à 22:09)

Antoine P

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

Merci, ça fonctionne.

---

Antoine P - Utilisateur d'Ubuntu depuis la 8.04, très satisfait.
Kubuntu 12.04 - Intel Pentium 4 3.20 GHz - RAM 1Go SDRAM - DD 330 Go - GPU : NVIDIA GeForce FX 5600 XT

Pseudo supprimé

Re : Commander un poste depuis Internet avec SSH : configuration du pare-fe

'cool