[Résolu] [Réseau] Obtenir l'adresse IP de mon serveur SSH perso

[benjarobin]

Comment tu en conclu que le port est ouvert si cela ne marche pas ? Sinon pour le 443 ne pas confondre port de sortie et port d'entrée, ce n'est pas du tout la même chose !

[hopimet]

Bon me voilà devant mon ordi, mon port à l'air correctement ouvert

Je pense que tu mélanges un peu les choses.

C'est ton serveur ssh qui doit écouter sur le port choisi. Ici, si on prend le 443 tu dois avoir dans ton fichier de configuration sur ton serveur une ligne comme ça : Port 443 (par défaut, à l'installation ssh écoute sur le port 22 et on a donc une ligne indiquant Port 22) dans le fichier /etc/sshd_config

Ensuite il faut rediriger sur ta box, le flux entrant sur le port 443 vers l'IP que ton serveur à sur ton réseau local (en général 192.168.xxx.yyy ou un truc dans le genre). Ce type de configuration dépend de la box ou du routeur que tu utilises en passant par la page de configuration de la box avec un PC connecté en local. Il se peut qu'il y ait des règles de redirection déjà paramétrées, tu peut t'en inspirer.

[benjarobin]

@hopinet, tu as raison, mais il est inutile de modifier la configuration de sshd, tu peux très bien garder le port 22. Par contre c'est au niveau du routeur dans la table NAT que tu va dire que le port 443 en entrée est redirigé vers le port 22 de l'IP local du PC. C'est pour cela qu'il est très important que le PC obtienne toujours la même Ip (IP fixe en local)

[hopimet]

Oui on peut évidemment faire comme ça aussi. C'est que j'ai pris l'habitude de modifier la config sshd mais ta méthode évite cette étape.
Cela étant je préfère que sshd n'écoute pas sur le 22 afin de limiter les tentatives d'accès (quand tu es sur le 22 fail2ban n'arrête pas une seconde...). C'est sûr qu'avec une règle NAT tu peux faire ça aussi mais ça ne prévient pas les tentatives d'accès via le port 22 si un intrus arrive à se connecter sur ton réseau local.

(Sinon c'est hopimet)

[benjarobin]

@hopimet Le serveur sshd n'est pas accessible sur le port 22 sauf en local avec cette méthode. Vue de l'extérieur il est uniquement accessible sur le port 443. C'est strictement la même chose que de modifier le port de sshd, sauf que en local tu n'as pas besoin de spécifier un port spécial : moins de chose à taper en local

[hopimet]

@hopimet Le serveur sshd n'est pas accessible sur le port 22 sauf en local avec cette méthode. Vue de l'extérieur il est uniquement accessible sur le port 443. C'est strictement la même chose que de modifier le port de sshd, sauf que en local tu n'as pas besoin de spécifier un port spécial : moins de chose à taper en local

Ben oui, j'avais bien compris. C'est pourquoi j'avais écrit :

C'est sûr qu'avec une règle NAT tu peux faire ça aussi mais ça ne prévient pas les tentatives d'accès via le port 22 si un intrus arrive à se connecter sur ton réseau local.

Après pour le fait d'avoir moins choses à taper faut quand même pas exagérer non plus. Taper -p xx c'est quand même pas un effort majeur et sinon rien n'empêche de se faire un alias.

[benjarobin]

Oups mal lu... Si un intrus est dans ton réseau local tu as bien plus de souci que de savoir sur quel port est sshd. Si l'intrus est déjà arrivé jusqu'à là cela ne changera rien sur le port de sshd...

[hopimet]

Certes mais comme il n'aura pas accès à la config sshd ça peut quand même le ralentir. Il peut voir qu'un serveur est connecté en local et il peut tenter une connexion ssh. Il va par défaut d'abord essayer le port 22, voir que ça ne fonctionne pas et se dire que ça écoute sur un autre port mais il devra ensuite faire différente tentatives. Me gourre-je ?

(Bon en plus, je ne laisse pas l'accès en root ni par mot de passe sur mon serveur)

[benjarobin]

Oui enfin le ralentir, de 5s ? Car un scan de port de 1 à 1000 ne devrait même pas prendre plus de 5 à 10s. Par exemple zenmap fait ceci très bien. Et s'il est sur le réseau local cela veut dire qu'il a déjà la main sur un PC, ou pire la main depuis le routeur.
A ce niveau ce n'est plus un bot, c'est un humain, donc s'il est déjà arrivé jusqu'ici ce n'est pas changer le numéro du port qui va le ralentir

[hopimet]

Oui enfin le ralentir, de 5s ? Car un scan de port de 1 à 1000 ne devrait même pas prendre plus de 5 à 10s. Par exemple zenmap fait ceci très bien. Et s'il est sur le réseau local cela veut dire qu'il a déjà la main sur un PC, ou pire la main depuis le routeur.
A ce niveau ce n'est plus un bot, c'est un humain, donc s'il est déjà arrivé jusqu'ici ce n'est pas changer le numéro du port qui va le ralentir

Oui effectivement. Le mec qui est entré sur ton réseau doit savoir scanner des ports a priori. Donc je suis d'accord avec toi.
Mais bon aller voir et comprendre un peu la config de sshd ne m'a pas fait de mal.

[WorkInProgress]

Salut,
Bon hier j'ai bosser sur mon problème toute l'aprem et j'ai finalement compris que le pare-feu de la box était la cause de mon problème (donc si votre live box est réglé en mode "protection faible" elle filtre quand même la pluparts des ports). Je suis passer en config manuelle pour ouvrir les bons ports avec les bonnes redirections dans la partie "règle NAT" et hier soir j'ai réussi à me connecter au serveur en SSH (youpi !). Bon en l'occurence je n'y arrive pas aujourd'hui mais c'est peut être juste la machine qui est éteinte.
Au point ou j'en suis je vais vérifier que ça marche dans la semaine et je mettrais le sujet en résolu quand je serais sure que tout marche.
Merci à tous pour votre aide et à bientôt .

EDIT : Ok tout marche comme je veux merci pour votre aide .