ssh porty

[1709]

Zmienilem sobie port dla serwera ssh, czyli sshd , np. na port  60100
łacze się np.   ssh user@IP -p 60100
 
I działa, ale port wyjściowy juz jest zmienny, a chciałbym by był stały, w celu uszczelnienia zapory internetowej.

Wynik tpcdump
17:09:29.314628 IP 192.168.1.24.40100 > <IP>.60100: tcp 0
17:09:29.315833 IP <IP>.60100 > 192.168.1.24.40100: tcp 0

Czy da się to jakoś ustawić w ssh ?
( próbowałem odhaszować i zmienić port w /etc/ssh/ssh_config , ale nici, może powinienem coś wiecej odhaszować , nie wiem )

[Andrzej J]

Powiinno działać jak zmienisz ssh w configu. Może jeszcze spróbuj w firewallu wyłączyć blokowanie tego portu.

[1709]

Dodam że
to nie problem firewalla narazie,
samo ssh działa jak w routerze przekieruje port   dowolny --> na 60100
ale nie chce tego robic, wolałbym  60100 --> na 60100
i tu zonk bo ssh używa zmiennego portu.

W internecie pisze coś takiego
https://superuser.com/questions/250249/how-do-i-change-my-ssh-outgoing-port-on-osx
co brzmi to bez sensu. I jeszcze jakś opcja LocalForward mi się obiła w oczy, ale chyba nie zrozumiałem do czego jest.

[Paweł Kraszewski]

Sprawa wygląda tak, ze przy wychodzącym połączeniu TCP, port żródłowy jest losowany przez system operacyjny podczas wywołania funkcji connect(...). Port można wcześniej "zafiksować" wywołaniem bind(...), ale klient SSH tego nie obsługuje.

Dlaczego tak jest? Otóż połączenie TCP jest identyfikowane przez czwórkę src-ip,src-port,dst-ip,dst-port i ani w sieci, ani w komputerze nie mogą istnieć dwa różne połączenia TCP/UDP z taką samą czwórką. Jeżeli wymusiłbyś kompletną czwórkę dla połączenia SSH, to w tym czasie nie mógłbyś zrobić drugiego połączenia do tego samego serwera. Dlatego przy połączeniach losowany jest jedyny element czwwórki, który można swobodnie zmieniać, czyli src-port - dzięki temu z klienta do serwera możesz zrobić 65535 połączeń równoczesnych (w rzeczywistości albo mniej - około 64000, bo system nie przydziela normalnie portów 1-1024 albo jeszcze mniej, około 26000, bo standardowo przydzielane są porty od 48k w górę).

[1709]

Szkoda ;-( , może kiedyś ktoś poprawi ssh dodając nową opcje
( w końcu nie każdy potrzebuje 65535 równoczesnych połączeń, czasem wystarczy tylko 1 )
 lub zrobi skrypt który wykryje port danego procesu i przekieruje go na chwilę na inny już określony.
Z tego co zrozumiałem wyżej

... bo system nie przydziela normalnie portów 1-1024  ...

To jedynie trochę zakres można zmniejszyć na  " 1024:65535 --> port zwrotny "
i choć nie ma tego w manualu, to widzę , że tak ludzie robią.
lub jak kto woli przykład z zapory internetowej

$ipt -A INPUT -i $LAN_IFACE -p tcp -s 192.168.1.0/24 --dport 22 --sport 1024:65535 -m state --state NEW -j ACCEPT

http://sourcedaddy.com/networking/configuring-firewall-remote-ssh-administration.html

Dziękuję za wyjaśnienie.

[Paweł Kraszewski]

Bo do zabezpieczenia od d**y strony podchodzisz.

1. Wymuś logowanie admina na certyfikat
2. Wyrzuć SSH na inny port (najlepiej jakiś wysoki)
3. Ogranicz liczbę inicjalizacji sesji "per ip źródłowe" na port z #2 np do 1/min z burstem 5. (czyli 5 SYNów masz "za darmo" a następne raz na minutę).
4. Jak coś przekroczy limit z #3 to wrzuć to do blacklisty np. na godzinę.

Całość robisz kombinacją iptables (--limit z mode srcip, --match-set, --ctstate) i ipset (typ hash:ip z timeoutem).