• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Release 5.4: ssh tut nicht in einer Jail

ed1949

Well-Known Member
Themenstarter #1
Da unser Server unter Release 5.3 recht unzuverlässig war und nach einigen Tagen abgekachelt ist (for allem im securelevel:2), dachte ich es kann mit 5.4 nur besser werden. Falsch gedacht! Zuerst bin ich anscheinend in kern/79895 reingelaufen. Dummerweise basiert die DSL/Internetanbindung des Netzwerk genau auf ppp (netgraph) und ipfilter/ipnat. Nun gut, das war die Chance mich mit pf zu beschäftigen. Sieht gut aus und tut inzwischen auch recht vernünftig.

Mein Server hat einen ssh Zugang, wobei der Daemon in einer Jail läuft. Nun bin ich in das nächste Problem gelaufen, dass Verbindungen auf den sshd in der Jail nicht möglich sind. Wenn ich den sshd ausserhalb der Jail laufen lasse, funktionert es. Noch schlimmer ist, dass auch der ssh Client aus der Jail nicht funktioniert. Hier bekomme ich beim 'ssh -vvv ...' die folgende Ausgabe. Andere Services wie exim, proftpd und courier-imap tun in den Jails ohne irgenwelche Probleme. Ich gehe also davon aus, dass das Netzwerk und das devfs (ruleset 4) richtig aufgesetzt sind. Hier die 'ssh -vvv ...' Ausgabe:

Code:
...
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug2: no key of type 0 for host fence
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts2
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts2
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug2: no key of type 1 for host fence
Host key verification failed.
Es wird übrigens noch nicht mal eine known_hosts Datei angelegt. Irgendwie komme ich da nun gar nicht mehr weiter. Da ich an den Server eigentlich nur per Internet rankomme ist die ganze Sache etwas ... ungünstig. Wenn jemand dazu eine gute Idee hat wäre das wirklich gut.
 
J

juedan

Guest
#2
Hallo ed1949,

leitest Du die Anfragen auf port 22 auch in die Jail um?
"Lauscht" der sshd auf der Jail-Adresse?
Geht denn "telnet >Adresse< 22" vom Client und vom Wirt-System?
Werden alle Adressen und Namen sauber aufgelöst?

Daß die known_hosts-Datei nicht angelegt wird, ist klar. Es wird erst dann ein Eintrag erzeugt, wenn der Ziel-Host und der User sich eindeutig authentifiziert haben.

Viele Grüße

Jürgen
 

asg

push it, don´t hype
#3
Tut nicht?
Hast Du den sshd auf den Hostsystem deaktiviert?
Hast Du den Port 22 in die JAIL umgeleitet?
Rennt der sshd in der Jail und lauscht dieser explizit auf dem Port 22?
 

ed1949

Well-Known Member
Themenstarter #4
Auf dem Host läuft auch ein sshd, der aber explizit an die Host IP Adresse gebunden ist. Was auch nicht tut ist eine Jail-ssh -> Host-sshd Verbindung. Die TCP Verbindung ist dabei auch kurz ESTABLISHED. Ein telnet aus der Jail auf den Host:22 tut:
Code:
Trying 192.168.100.32...
Connected to host.
Escape character is '^]'.
SSH-2.0-OpenSSH_3.8.1p1 FreeBSD-20040419
Danach steht die TCP Verbindung bis ich etwas eingebe. Danach gibt es (da telnet) natürlich ein 'Protocol mismatch.'. Die Namen werden über feste Einträge in 'hosts' korrekt aufgelöst (auf 192.168.100.32 hört der Host-sshd, die Jail ist 192.168.100.35, Netmask auf dem Interface 255.255.255.0). Was ich im ersten Post mit '...' abgekürtzt habe sieht eigentlich auch schon nach einem netten ssh-Handshake aus. Von extern kann ich mich auch problemlos auf dem Host-sshd einloggen. Genauso kann ich mit dem Host-ssh nach extern verbinden. Nur eben nicht mit den Jails. Wobei der TCP Level noch zu tun scheint und im ssh Protokoll irgend etwas (no key of type ...???) schief geht. Da SMTP, FTP und IMAP in den Jails funktionieren, gehe ich mal davon aus, dass irgend etwas mit dem ssh/sshd nicht passt.

Falls ich etwas zu sparsam mit dem Log war, hier die vollständige Ausgabe:
Code:
jail|~> ssh -vvv host
OpenSSH_3.8.1p1 FreeBSD-20040419, OpenSSL 0.9.7e 25 Oct 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to host [192.168.100.32] port 22.
debug1: Connection established.
debug1: identity file /home/ed1949/.ssh/identity type -1
debug1: identity file /home/ed1949/.ssh/id_rsa type -1
debug3: Not a RSA1 key file /home/ed1949/.ssh/id_dsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug2: key_type_from_name: unknown key type 'Proc-Type:'
debug3: key_read: missing keytype
debug2: key_type_from_name: unknown key type 'DEK-Info:'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/ed1949/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.8.1p1 FreeBSD-20040419
debug1: match: OpenSSH_3.8.1p1 FreeBSD-20040419 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.8.1p1 FreeBSD-20040419
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss,ssh-rsa
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 127/256
debug2: bits set: 514/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug2: no key of type 0 for host host
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts2
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts2
debug3: check_host_in_hostfile: filename /home/ed1949/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug2: no key of type 1 for host host
Host key verification failed.
 

ed1949

Well-Known Member
Themenstarter #6
Nein. Der sshd in der Jail ist an 0.0.0.0 gebunden. Laut netstat wird der Jail sshd aber trotzdem an die Jail IP gebunden. Ausserdem kann ich entwarnung geben: Ich weiss nicht so genau warum, aber nach viel rumspielen tut es jetzt wieder.

Was ich mir vorstellen kann: Ich hatte den Host sshd an die externe (DHCP) IP Adresse gebunden, da meine alte IPFilter konfiguration in 5.4 nicht mehr tut (bug). So langsam habe ich nun den PF eingerichtet und eine rdr-Regel auf die private Host IP eingerichtet (wie früher bei IPFilter) und den Host sshd auch daran gebunden. Die ssh_host_* Dateien habe ich jedoch nicht geändert. Diese kommen noch aus der 5.3 Installation, wo der Host sshd auch an die interne Adresse gebunden war. Könnte das ganze ein Problem mit den Host Keys gewesen sein?!
 

atzplzw

Active Member
#7
Hallo!

Ich habe genau das gleiche Problem! Wie bist du zu einer Lösung gekommen?

Bei mir ist es egal ob ich pf_enable=ON/OFF habe. Funktioniert nicht.

Hier meine Fehlermeldung:

Code:
debug2: key: /root/.ssh/id_rsa (0x0)
debug2: key: /root/.ssh/id_dsa (0x0)
debug1: Authentications that can continue: publickey,keyboard-interactive
debug3: start over, passed a different list publickey,keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug3: no such identity: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug3: no such identity: /root/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
Connection closed by 10.0.0.10
Im jail auth.log kommt

Code:
May 29 08:38:16 <auth.crit> jail_blah sshd[5980]: fatal: Timeout before authentication for 10.0.0.10
In jail sshd_config habe ich nichts weiter verändert als:
Code:
Port 2222
Protocol 2
ListenAddress 10.0.0.10
LogLevel INFO
ssh starte im mit
Code:
ssh -2 -p 2222 10.0.0.10 -l user -vvv
Es ändert sich nichts ob ich am host root oder ein user bin oder wenn ich -l weglasse. Im jail ist root & user angelegt, mit Passwort natürlich.

Ich habe schon gute Tipps im IRC erhalten. Leider war aber für dieses Problem nichts dabei...
 

Bummibaer

Registered Schwarzbär
#8
Hallo Forum,

Ich hab das mal nachgestellt. Server für den SSH Client verbindet auf den SSHd in der Jail (Jail läuft auf dem selben Server).

Annahmen:
- Authentifizierung mit Username und Password, über einen User != root.
- SSHd ist auf der Jail fest an die Jail-IP gebunden
- SSHd ist auf dem Mainhost fest an die Mainhost-IP gebunden

Code:
Server
BummiOS jailmainhost.bummi-net.local 5.4-CURRENT BummiOS 5.4-CURRENT #0: Wed May 25 19:58:00 CEST 2005
bummibaer@jailmainhost.bummi-net.local:/usr/obj/usr/src/sys/NSSA150  i386

# ssh -4 -vvv service@192.168.0.153
OpenSSH_3.8.1p1 BummiOS-20050525, OpenSSL 0.9.7e 25 Oct 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.153 [192.168.0.153] port 22.
debug1: Connection established.
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.8.1p1 BummiOS-20050525
debug1: match: OpenSSH_3.8.1p1 BummiOS-20050525 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.8.1p1 BummiOS-20050525
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss,ssh-rsa
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 143/256
debug2: bits set: 496/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /root/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 5
debug1: Host '192.168.0.153' is known and matches the DSA host key.
debug1: Found key in /root/.ssh/known_hosts:5
debug2: bits set: 515/1024
debug1: ssh_dss_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /root/.ssh/identity (0x0)
debug2: key: /root/.ssh/id_rsa (0x0)
debug2: key: /root/.ssh/id_dsa (0x0)
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug3: start over, passed a different list publickey,password,keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/identity
debug3: no such identity: /root/.ssh/identity
debug1: Trying private key: /root/.ssh/id_rsa
debug3: no such identity: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug3: no such identity: /root/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug3: packet_send2: adding 32 (len 26 padlen 6 extra_pad 64)
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug3: packet_send2: adding 32 (len 24 padlen 8 extra_pad 64)
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug3: packet_send2: adding 48 (len 10 padlen 6 extra_pad 64)
debug1: Authentication succeeded (keyboard-interactive).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug1: Entering interactive session.
debug2: callback start
debug2: ssh_session2_setup: id 0
debug2: channel 0: request pty-req
debug3: tty_make_modes: ospeed 9600
debug3: tty_make_modes: ispeed 9600
debug3: tty_make_modes: 1 3
debug3: tty_make_modes: 2 28
debug3: tty_make_modes: 3 127
debug3: tty_make_modes: 4 21
debug3: tty_make_modes: 5 4
debug3: tty_make_modes: 6 255
debug3: tty_make_modes: 7 255
debug3: tty_make_modes: 8 17
debug3: tty_make_modes: 9 19
debug3: tty_make_modes: 10 26
debug3: tty_make_modes: 11 25
debug3: tty_make_modes: 12 18
debug3: tty_make_modes: 13 23
debug3: tty_make_modes: 14 22
debug3: tty_make_modes: 17 20
debug3: tty_make_modes: 18 15
debug3: tty_make_modes: 30 0
debug3: tty_make_modes: 31 0
debug3: tty_make_modes: 32 0
debug3: tty_make_modes: 33 0
debug3: tty_make_modes: 34 0
debug3: tty_make_modes: 35 0
debug3: tty_make_modes: 36 1
debug3: tty_make_modes: 38 1
debug3: tty_make_modes: 39 1
debug3: tty_make_modes: 40 0
debug3: tty_make_modes: 41 1
debug3: tty_make_modes: 50 1
debug3: tty_make_modes: 51 1
debug3: tty_make_modes: 53 1
debug3: tty_make_modes: 54 1
debug3: tty_make_modes: 55 0
debug3: tty_make_modes: 56 0
debug3: tty_make_modes: 57 0
debug3: tty_make_modes: 58 0
debug3: tty_make_modes: 59 1
debug3: tty_make_modes: 60 1
debug3: tty_make_modes: 61 1
debug3: tty_make_modes: 62 1
debug3: tty_make_modes: 70 1
debug3: tty_make_modes: 72 1
debug3: tty_make_modes: 73 0
debug3: tty_make_modes: 74 0
debug3: tty_make_modes: 75 0
debug3: tty_make_modes: 90 1
debug3: tty_make_modes: 91 1
debug3: tty_make_modes: 92 0
debug3: tty_make_modes: 93 0
debug2: channel 0: request shell
debug2: fd 3 setting TCP_NODELAY
debug2: callback done
debug2: channel 0: open confirm rwindow 0 rmax 32768
debug2: channel 0: rcvd adjust 131072
Last login: Fri May 27 22:54:32 2005 from 192.168.0.153
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
        The Regents of the University of California.  All rights reserved.

BummiOS 5.4-Current (NSSA150) #0: Wed May 25 19:58:00 CEST 2005

Squid Jail
192.168.0.153

$ exit
debug2: channel 0: rcvd eof
debug2: channel 0: output open -> drain
debug2: channel 0: obuf empty
debug2: channel 0: close_write
debug2: channel 0: output drain -> closed
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug2: channel 0: rcvd close
debug2: channel 0: close_read
debug2: channel 0: input open -> closed
debug3: channel 0: will not send data after close
debug2: channel 0: almost dead
debug2: channel 0: gc: notify user
debug2: channel 0: gc: user detached
debug2: channel 0: send close
debug2: channel 0: is dead
debug2: channel 0: garbage collecting
debug1: channel 0: free: client-session, nchannels 1
debug3: channel 0: status: The following connections are open:
  #0 client-session (t4 r0 i3/0 o3/0 fd -1/-1)

debug3: channel 0: close_fds r -1 w -1 e 6
Connection to 192.168.0.153 closed.
debug1: Transferred: stdin 0, stdout 0, stderr 37 bytes in 216.3 seconds
debug1: Bytes per second: stdin 0.0, stdout 0.0, stderr 0.2
debug1: Exit status 0
Hinweis: beim der ersten Password Abfrage wurde bewusst ein falsches eingegeben, bei der 2. Abfrage dann erst das richtige

Gruß Bummibaer
 

atzplzw

Active Member
#9
Dazu kann ich nur sagen, dass bei meinem setup host & jail auch fest gebunden sind:
Code:
root     sshd       6639  3  tcp4   10.0.0.10:2222
root     sshd       443   3  tcp4   öffentliche.IP:22
Ob User oder root spielt keine Rolle. Ist bei beiden das gleiche...

Weiterhin ist bei mir der Fall, dass mein Jail nicht mit dem Internet kommuniziert, sprich kein NAT am host aktiviert.
 

ed1949

Well-Known Member
Themenstarter #10
Warum das bei mir funktioniert kann ich nicht sagen. Ich habe es erst erfolgreich am laufen, seit NAT+filter _korrekt_ aufgesetzt sind. Den Jail sshd habe ich nicht mal mehr an die Jail IP gebunden und es tut trotzdem (oder gerade deshalb?).

Das Debug Log des ssh sieht etwas anders aus als bei mir. Ich gehe mal davon aus, das das devfs für die Jail richtig aufgesetzt ist? Ich benutze das Ruleset 4.
 

atzplzw

Active Member
#11
Jetzt geht's endlich!!!

Aber auch erst, nachdem ich bei pf nat hinzugefügt habe -> nat pass on $ext_if from $jail_net to any -> ($ext_if:0)


Weiterhin hab ich noch folgendes in der rc.conf am host geändert: gateway_enable="YES"


Und etwas ganz wichtiges: Reboot!!!. Ist kein Scherz. Nachdem ersten Start der Jail gings nicht. Dann hab ich die Config verändert und neu gestartet. Nach dem Neustart gings auf einmal...