O que pode fazer com que meu encaminhamento de porta ssh falhe?

Navegue suas respostas
0

Estou configurando syncthing no meu qnap nas e, atualmente, no ponto em que desejo encaminhar a GUI do nas para meu laptop, que está na mesma rede. A GUI está disponível no nas na porta 8384 : 

[~] # nc -zv 127.0.0.1 8384
localhost [127.0.0.1] 8384 (?) open

Agora, para acessar esse serviço a partir do laptop, eu uso 

ssh -p 50022 -L 9090:127.0.0.1:8384 admin@nasipaddress -v

, conforme descrito aqui ( -v adicionado para depuração). Fazendo isso e acessando 127.0.0.1:9090 no navegador do meu laptop, ocorre o seguinte erro no terminal (terminal no nas que foi aberto pelo comando ssh acima): 

[~] # debug1: Connection to port 9090 forwarding to 127.0.0.1 port 8384 requested.
debug1: channel 3: new [direct-tcpip]
channel 3: open failed: administratively prohibited: open failed
debug1: channel 3: free: direct-tcpip: listening port 9090 for 127.0.0.1 port 8384, connect from 127.0.0.1 port 36462 to 127.0.0.1 port 9090, nchannels 4

Esta mensagem é repetida 10 vezes, cada vez aumentando a porta 36462 por 2 . O administratively prohibited parece implicar que é alguma configuração, eu acho que no próprio NAS, e eu vou olhar para isso. Eu também não tenho certeza de onde a porta ( 36462 ) está sendo usada.

Em sshd_config , configurei AllowTcpForwarding para yes e PermitOpen não está presente, conforme esta questão , e eu adicionei PermitTunnel yes como por este post . Meu inteiro sshd_config : 

Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
PermitRootLogin yes
UseDNS no
Subsystem sftp /usr/libexec/sftp-server
AllowTcpForwarding yes
AllowUsers admin
PermitTunnel yes

Eu reiniciei o daemon ssh depois de alterar a configuração.

Estou usando chaves autorizadas e todas as linhas em .ssh/authorized_keys consistem em ssh-rsa l0ngcrpt0grAph1cK3Y descriptive name

editar : Eu reescrevi a pergunta para refletir novas informações.

editar : resolvido!
Acontece que, as alterações em sshd_config no qnap nas são desfeitas quando se reinicia o daemon ssh. Sim, eu sei. Então, a única maneira de ter certeza de que a linha AllowTcpForwarding yes sobrevive, é adicionando de outra forma, assim: 

setcfg LOGIN "SSH AllowTcpForwarding" TRUE

Este faz sobreviver a uma reinicialização do sshd e uma reinicialização do sistema.

    
por ElRudi 03.11.2018 / 12:22

1 resposta

0

Tem certeza de que sshd no NAS foi reiniciado depois de editar seu arquivo sshd_config ? Caso contrário, talvez ainda esteja usando as configurações antigas.

O NAS pode ter um firewall de software que responde a tentativas de conexão de 127.0.0.1 para a porta 8384 com um erro ICMP "Administrativamente proibido", ou o próprio aplicativo na porta 8384 pode estar fazendo o mesmo.

Ou o sshd no dispositivo NAS pode ter sido compilado sem um recurso de encaminhamento de porta, fazendo com que ele responda com "proibida administrativamente" às tentativas de encaminhamento de porta, independentemente do que você colocar no arquivo sshd_config .

    
por 03.11.2018 / 14:12

Tags

Systemd: remover mensagens de reinicialização / desligamento Como definir o tempo limite para o trabalho de inicialização do systemd “dev-md125.device” (mdadm)