আমি কেন আমার পাবলিক আইপি থেকে এসএসএইচে পৌঁছাতে পারছি না তবে এলোমেলো হ্যাকার-বট করতে পারি?


0

আমার কাছে রাস্পবিয়ান স্ট্রেচ সহ একটি রাস্পবেরি পাই 3 রয়েছে যা হোম রাউটারের পিছনে রয়েছে।

আরপিআই-তে /var/log/auth.log অবিচ্ছিন্নভাবে জেনেরিক ব্যবহারকারীর নাম (রুট, অপারেটর, ওয়েবমাস্টার এবং তাই) এর সাথে ব্যর্থ লগইন প্রচেষ্টা দেখায়, উচ্চারণের সাথে এলোমেলো বন্দরগুলিতে, চিনের ঠিকানা থেকে প্রতি 10 সেকেন্ডে প্রায় 3 সেকেন্ড চেষ্টা করে। আমি জানি এটি আশ্চর্যজনক নয়।

আমি যা বুঝতে পারি না তা হল যখন আমি আমার সার্বজনীন আইপি-এর মাধ্যমে এটির সাথে যোগাযোগ করার চেষ্টা করব তখন পিটিটি কীভাবে সেই একই সার্ভারে পৌঁছতে পারে না?

আমি এই ক্ষেত্রে খুব নবাগত, কিন্তু আমার জ্ঞান সহ, এটি একটি সম্পূর্ণ প্যারাডক্স।

কিছু অতিরিক্ত প্রযুক্তিগত নোট:

  • iptables অচেনা হয়

  • আমার সার্বজনীন আইপি ঠিকানায় এনএম্যাপ দেয় "স্ক্যান করা সমস্ত 1000 পোর্ট ফিল্টার করা হয়"

  • ফাংশনাল এলএএমপি সার্ভার একটি ওয়ানক্লাউড হোস্ট করে যা কাজ করে তবে কেবল ল্যান থেকে, আমার সার্বজনীন আইপি ঠিকানার সাথে যোগাযোগ করার কোনও প্রচেষ্টা ব্যর্থ হয়ে ব্যর্থ হয়।
  • আমার সার্বজনীন আইপিতে সংযোগ দেওয়ার জন্য আমার চেষ্টাগুলি আরপি'র মতো ল্যান থেকে করা হয়েছে।
  • 22 পোর্টটি রাউটারে আরপিআইতে পুনঃনির্দেশিত হয়েছে, এবং আমার উপস্থিত পরীক্ষাগুলির উদ্দেশ্যে রাউটারের ফায়ারওয়াল পুরোপুরি বন্ধ রয়েছে।
  • রাউটারে, আমার আরপিআই ডিএমজেডে সেট করা আছে। আফাইক, এই সেটিংটি বন্ধ হওয়ার সাথে সাথে ফলাফলগুলি একই।

আমার প্যাকেটগুলি কোথায় ফেলেছে এবং কেন?

আমি যে লগটি আমাকে দেখাবো তার জন্য কোথায় সন্ধান করতে পারি?

আগাম ধন্যবাদ


এটি নির্দেশ করার জন্য আপনাকে ধন্যবাদ, আমি সদৃশটি পরীক্ষা করে আবার মন্তব্য করব বা পোস্টটি সমাধান করব।
আলেকজান্দ্রে ক্যারিজ

আপনার নেটওয়ার্কের বাইরে থেকে পুরো বন্দর পরিসীমাটির নামকরণ চেষ্টা করুন। (বন্ধুর বাসায়) আমি বিশ্বাস করি আপনার বর্ণিত ইস্যুটিকে "ন্যাট হেয়ারপিনিং" বলা হয়।
টিম_সেটওয়ার্ট

উত্তর:


2

হেয়ারপিন নাট করতে না পারা এটি একটি সাধারণ সমস্যা। বেশিরভাগ সস্তার হোম রাউটারগুলি পোর্ট ফরওয়ার্ডিং চালু করে কেবল এটি পরিচালনা করে। তবে উচ্চতর প্রান্তের রাউটারগুলিকে সমস্যাটি সমাধান করার জন্য পৃথক পৃথক নিয়ম প্রয়োজন need

আপনার নিয়মিত NAT নিয়মগুলি কেবল আপনার নেটওয়ার্কের বাইরের থেকে কাজ করে। আপনি যদি আপনার নেটওয়ার্কের ভিতরে থেকে সংযোগ স্থাপনের চেষ্টা করেন তবে একটি NAT সমস্যা রয়েছে।

এই বিবেচনা...

  • আপনার কাছে Server Aআইপি সঙ্গে আপনার স্থানীয় নেটওয়ার্কে 10.10.10.10
  • আপনার কাছে Computer Aআইপি সঙ্গে আপনার স্থানীয় নেটওয়ার্কে 10.10.10.20
  • আপনার Router Aএকটি LANআইপি 10.10.10.1এবং একটি WANআইপি রয়েছে 11.11.11.11
  • আপনার কাছে Computer Bআইপি সঙ্গে আপনার নেটওয়ার্কের বাইরে 12.12.12.12
  • আপনি port 22আপনার WAN আইপি থেকে ফরোয়ার্ড করেছেন Server A

আপনার নেটওয়ার্কের বাইরে থেকে ট্র্যাফিকটি দেখতে দেখতে এটির মত দেখাচ্ছে:

কম্পিউটার বি সার্ভার এ এর ​​সাথে সংযোগ স্থাপনের চেষ্টা করে:

Source IP: 12.12.12.12   Src Port: 12345
Destination IP: 11.11.11.11    Dest Port: 22

রাউটার এ NAT টি প্যাকেটটি দেয় এবং এটি সার্ভার এ প্রেরণ করে:

Source IP: 12.12.12.12   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

সার্ভার এ কম্পিউটার বি তে সাড়া দেয়:

Source IP: 10.10.10.10    Src Port: 22
Destination IP: 12.12.12.12   Dest Port: 12345

রাউটার এ NAT এর প্যাকেটটি নিয়ে এটি কম্পিউটার বিতে প্রেরণ করে:

Source IP: 11.11.11.11   Src Port: 22
Destination IP: 12.12.12.12   Dest Port: 12345

সবকিছু ইচ্ছাকৃত কাজ করে। এখন, একই পরিস্থিতিতে বিবেচনা করুন তবে আপনার নেটওয়ার্কের ভিতরে থেকে:

কম্পিউটার এ সার্ভার এ এর ​​সাথে সংযোগ স্থাপনের চেষ্টা করে:

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 11.11.11.11   Dest Port: 22

রাউটার এ NAT টি প্যাকেটটি দেয় এবং এটি সার্ভার এ প্রেরণ করে:

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

সার্ভার এ কম্পিউটার এ-তে সাড়া দেয়:

Source IP: 10.10.10.10   Src Port: 22
Destination IP: 10.10.10.20   Dest Port: 12345

উত্স আইপি গন্তব্য আইপি হিসাবে একই সাবনেট হয়। Server Aপ্যাকেটটি রাউটারে ফেরত পাঠায় না, এটি সরাসরি পাঠায় Computer AComputer Aপ্যাকেটটি ফেলে দেয় কারণ এটি এসেছে 10.10.10.10এবং এটি আসল প্যাকেটটিকে প্রেরণ করেছে 11.11.11.11। এটি প্যাকেটটি থেকে ফিরে আসার প্রত্যাশা করে 11.11.11.11

সমস্যাটি সমাধান করার জন্য, আপনার নেটওয়ার্কের ভিতরে থেকে উত্পন্ন ট্র্যাফিকের সাথে মিল রাখতে আপনাকে অবশ্যই একটি দ্বিতীয়, আরও নির্দিষ্ট NAT নিয়ম তৈরি করতে হবে। এটি আপনার আসল NAT নিয়মের পরে আসবে। আপনাকে দেখতে এমন সোর্স নেট করতে হবে যা দেখতে দেখতে:

srcnat src-address=10.10.10.0/24 dst-address=10.10.10.10 dst-port=22 out-interface=LAN action=masquerade

এখন, এটি আবার দেখুন:

কম্পিউটার এ সার্ভার এ এর ​​সাথে সংযোগ স্থাপনের চেষ্টা করে:

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 11.11.11.11   Dest Port: 22

রাউটার এ NAT টি প্যাকেটটি দেয় এবং এটি সার্ভার এ প্রেরণ করে:

Source IP: 10.10.10.1   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

সার্ভার এ কম্পিউটার এ-তে সাড়া দেয়:

Source IP: 10.10.10.10   Src Port: 22
Destination IP: 10.10.10.1   Dest Port: 12345

রাউটার এ NAT এর প্যাকেটটি কম্পিউটার কম্পিউটার এ প্রেরণ করে:

Source IP: 11.11.11.11   Src Port: 22
Destination IP: 10.10.10.20   Dest Port: 12345

সবকিছু ইচ্ছাকৃত কাজ করে।

আপনি এই দ্বিতীয় NAT নিয়মটি কীভাবে প্রয়োগ করেন তা আপনার রাউটার হার্ডওয়্যার এবং সফ্টওয়্যার এর উপর নির্ভরশীল। আপনার মাইলেজ পরিবর্তিত হতে পারে.


"হেয়ারপিন NAT দ্বারা সৃষ্ট সাধারণ সমস্যা" - "হেয়ারপিন নাট" হুবহু কী? আমি ভেবেছিলাম এটি একটি সমাধান , আপনি বলেছিলেন এটি একটি কারণ। আমার সন্দেহগুলি সমাধান করুন। আপনার উত্তরটি প্রযুক্তিগতভাবে সঠিক কিনা তা নিশ্চিত করার জন্য আমার জ্ঞানের অভাব রয়েছে। তবুও আমি মনে করি যে কিছু হোম রাউটারগুলি ডিফল্টরূপে সঠিক সমাধানটি কার্যকর করে তা উল্লেখ করে উপকৃত হব, রাউটারের ওয়েব ইন্টারফেসের মতো একটি পোর্ট ফরওয়ার্ডিং নিয়মকে সংজ্ঞায়িত করা দরকার। স্পষ্টতই ওপি'র রাউটার তাদের মধ্যে একটি নয়।
কামিল ম্যাকিয়েরোভস্কি

2
@ কামিলম্যাসিওরওস্কি এনএটি হেয়ারপিনিং (ওরফে এনএটি লুপব্যাক) হ'ল আপনি যা করার চেষ্টা করছেন - ব্যক্তিগত নেটওয়ার্কের অভ্যন্তর থেকে একটি প্রাইভেট নেটওয়ার্কের অন্য কম্পিউটারে একটি বন্দর ব্যবহার করুন। সমস্যাটি হ'ল সমস্ত রাউটারগুলি এটি সমর্থন করে না। রাউটারের উপর নির্ভর করে আপনি এটি সক্ষম করতে সক্ষম হতে পারেন, বা আপনাকে রাউটারে স্যুইচ করতে হবে যা এটি সমর্থন করে না।
গর্ডন ডেভিসন

এটি একটি নির্বোধ সমস্যা। হয় আপনি যে স্থানীয় আইপিটির সাথে যোগাযোগ করতে চান তা ব্যবহার করুন, বা হোস্ট মেশিনে একটি ডিএনএস রেকর্ড স্থাপন করুন যা আপনাকে নির্দেশিত করতে চান আইপিটিতে অভ্যন্তরীণভাবে নির্দেশ করে। বেশ পোস্টটি বিটিডাব্লু। 😋
টিম_সেটওয়ার্ট

ধন্যবাদ স্পষ্ট ব্যাখ্যার জন্য অ্যাপলিউডডিটি যা আমাকে বুঝতে পেরেছিল যে প্যাকেট অনুযায়ী কী হয়! তবে নাট নিয়মের জন্য আমি জানি না কীভাবে আমি এটি আমার রাউটারে সেট করব (এটি টেলনেটের মাধ্যমে লগ ইন করতে পারি না), তাই আমি টিম_স্টেটের ডিএনএস রেকর্ড সমাধানটি টিমকে ধন্যবাদ জানাব।
আলেকজান্দ্রে ক্যারিएজ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.