Resolvido

porta ssh/22 _outbound_ bloqueada?

  • 19 November 2014
  • 28 respostas
  • 9659 visualizações

Reputação 2
Boas,

 

Há um ou dois dias para cá, deixei de conseguir aceder a ssh de máquinas remotas, e tudo me indica que o meo me está a bloquear o outbound da porta 22...  Alguma ideia do que se passa?

 

Por exemplo:

 

$ ssh -v sourceware.org
OpenSSH_6.4, OpenSSL 1.0.1e-fips 11 Feb 2013
...

debug1: connect to address 209.132.180.131 port 22: Connection timed out
ssh: connect to host sourceware.org port 22: Connection timed out

 

Sei que o serviço está a correr corretamente na máquina em questão pois

consigo aceder a uma máquina remota que tem o ssh a correr na porta 300, e a partir daí consigo aceder à primeira máquina.  Mais, colegas meus (no estrangeiro, e alguns na Europa) conseguem aceder diretamente à máquina.  A outros serviços que estão a correr no mesmo servidor, como http/80 consigo aceder normalmente.  Com o telnet, consigo ver que consigo ligar-me a todas as portas menos a ssh/22:

 

telnet sourceware.org 80

 

$ telnet sourceware.org 80
Trying 209.132.180.131...
Connected to sourceware.org.
Escape character is '^]'.
^]
telnet> q
Connection closed.

 

$ telnet sourceware.org 22
Trying 209.132.180.131...

... hang ...

 

Obtenho o mesmo resultado tentando ligar para outras máquinas remotas que sei que tem o ssh a correr.

 

Não é o problem especifico da minha máquina, pois tentei o mesmo de outras máquinas na minha rede, com o mesmo resultado.

 

Consigo ssh para servidores dentro da rede.  E consigo ssh para um servidor remoto, mas que está a correr numa porta não standard (300 em vez da 22).

 

Já experimentei desligar o firewall do router Thomson/meo, mas nada...

 

Falei com o 16209, mas quem atende nem sabe o que é o ssh.  Só me serviu para perder tempo, dinheiro e paciência ...  Depois de insistencia consegui falar com o supervisor, mas também não ajuda.  Para problemas de roteamento sugere o 16202 ?!?!.
icon

Solução por palves1 20 November 2014, 00:12

Ver original

Tópico fechado, já não permite mais respostas.

28 respostas

Reputação 2
Será que alguém me pode por exemplo confirmar se consegue fazer ssh or telnet 22 para a máquina indicada acima?  Já ajudava bastante.


 


Obrigado,


Pedro.


 
Reputação 2
Fiz agora partilha de internet a partir do meu Android, e liguei o meu PC à rede wifi criada pelo Android.  Desta forma, consigo fazer ssh a partir do PC com sucesso.  Ligando-me por wifi ao router thomson, não consigo fazer ssh.  Portanto, claramente o problema está ou no router, ou acima do router, e cheira-me que está mesmo acima do router...  Como resolver isto?
Reputação 2
Ui, descobri como me ligar ao router por telnet, e com ":env list" (List all environment variables),


vejo que o meo decidiu-me fazer um upgrade ao firmware to router ontem !??!?


 


 ACS_STS_VERSION=ptwifi_gui
 COLUMNS=200
 Script_Global_2014=Enable
 UPGRADE_DATE=2014-11-18T02:03:59Z


                             ^^^^^^^
 PRE_FIRMWARE_HISTORY=CM[Last Firmware] | versao-64[First Firmware]
 VERSION=v90Q
 EOC_MSG=887E9d10.2.1.L
 CONF_SERVICE=SingleEDGE IPv4 & IPv6
 CONF_PROVIDER=custo_1
 FIRMWARE_HISTORY=10.2.1.LDL(v90Q)[2014-11-18T02:03:59Z]


                                                                 ^^^^^^^^^^^^^^


 


Touché?  Será um bug the firmware?  Mais ninguém vê isto?


 
Reputação 2
Para clarificar, tenho um Thomson TG784n.  Na interface web diz:


 


Versão do software: 10.2.1.L


Variante do software: DL


 
Reputação 6
Crachá +10
Olá @@@palves1 


 


Tenho um TG799vn com firmware 10.2.1.D e consigo aceder com sucesso ao servidor sourceware.org, utilizando a porta 22. É sabido que os routers MEO impedem o uso desta porta para ligações de entrada, estando a mesma já reservada. Mas, para ligações de saida não deveria acontecer o mesmo, não é normal. Não sei se servirá neste caso mas, já experimentou activar o modo "gamer"?


 


Qual o nivel de segurança que está a usar na firewall do router MEO? Use o nivel de segurança "padrão"! E no PC está a usar firewall? Desactive temporariamente, e faça um novo teste. De seguida, aceda ao router MEO por telnet e introduza o comando 'nat maplist'. Copie o texto e poste aqui os resultados.
Reputação 2
Ola@NeoPT,


 


Muito obrigado pela resposta e sugestões.


 


> Não sei se servirá neste caso mas, já experimentou activar o modo "gamer"?


 


Não encontro essa opção na interface web.  Será isso outro nome para UPnP ("em Partilha de Jogos e Aplicações")?  Se sim, já experimentei com, e sem o UPnP ativo, com o mesmo resultado.


 


> Qual o nivel de segurança que está a usar na firewall do router MEO? 


 


Estava em normal até eu ter detectado o problema hoje.  Para testes, desativei a firewall, tanto no router, como no meu PC.


 


> Use o nivel de segurança "padrão"! E no PC está a usar firewall? Desactive temporariamente, e faça um novo teste.


 


Note que se me ligar através da partilha de rede do meu smartphone android, consigo aceder a servidores ssh sem problema.  I.e., mudando mais nada a não ser a ligação wifi a utilizar (android vs meo).


 


> De seguida, aceda ao router MEO por telnet e introduza o comando 'nat maplist'. Copie o texto e poste aqui os resultados.


 


{admin}=>nat maplist
Idx Type Interface Outside Address Inside Address Use
 1 NAT InternetADSL 188.xx.xxx.xxx:8 127.0.0.1:8 0
 2 NAT InternetADSL 188.xx.xxx.xxx 127.0.0.1 0
 3 NAPT InternetADSL 188.xx.xxx.xxx:21021 127.0.0.1:21 0
 4 NAPT InternetADSL 188.xx.xxx.xxx:23023 127.0.0.1:23 0
 5 NAPT InternetADSL 188.xx.xxx.xxx:51006 127.0.0.1:51006 0
 6 NAPT InternetADSL 188.xx.xxx.xxx:68 127.0.0.1:68 0
 7 NAPT InternetADSL 188.xx.xxx.xxx:68 188.xx.xxx.xxx:68 0
 8 NAPT InternetADSL 188.xx.xxx.xxx:5060 188.xx.xxx.xxx:5060 0
 9 NAPT InternetADSL 188.xx.xxx.xxx:49929 192.168.0.109:1032 2
 10 NAPT InternetADSL 188.xx.xxx.xxx:54585 192.168.0.105:52522 2
 11 NAPT InternetADSL 188.xx.xxx.xxx:58493 192.168.0.253:54371 102
 12 NAPT InternetADSL 188.xx.xxx.xxx:60796 192.168.0.106:1032 2
 13 NAPT InternetADSL 188.xx.xxx.xxx:22022 192.168.1.253:22 0
 14 NAPT InternetADSL 188.xx.xxx.xxx unmapped 198
{admin}=>


 


Já suspeitei da entrada "188.xx.xxx.xxx:22022 192.168.1.253:22" (embora seja um mapeamento de entrada), mas não sei como apagá-la.  Não aparece na interface web ("Partilha de jogos e aplicações"), onde se configuram os mapeamentos.  Confirmei que se criar um mapeamento no interface web, ele aparece em "nat maplist".  Tentei inclusivamente criar uma nova entrada mapeando igualmente 22022 -> 192.168.1.253:22, com a idea de que talvez apagando a que criei, apagasse as duas.  Sem sucesso, a nova entrada aparece (portanto, fico com duas entradas iguais), mas quando apago a nova, a velha permanece.  :-/


 


 Na internet encontro referencias a um comando "nat mapdelete" para apagar entradas.  Neste modelo o comando parece estar escondido, não vem listado na ajuda:


 


 {admin}=>nat help


 Following commands are available :


 iflist : Display all interfaces.
 maplist : Display address mappings.
 tmpllist : Display address mapping templates.
 config : Modify global NAT configuration.


 {admin}=>


 


Mas, ele parece existir, só que não o consigo utilizar:


 


{admin}=>nat mapdelete intf = InternetADSL index = 13
Command not allowed.
Reputação 2
Já agora, a minha rede local é 192.168.0.*, e o IP do router é o 192.168.0.254.  Não faço ideia de onde vem esse 192.168.1.253.  Será o IP de fabrica?
Reputação 6
Boas
Não sei qual é o router que tens mas por defeito os routers da meo têm o ip 192.168.1.x


 


O motivo para não estares a conseguir executar os comandos via telnet é porque o utilizador que estás a usar não tem privilégios para efectuar essa operação .


 


Já não existe nenhum root user neste firmware, o utilizador com mais privilégios de momento é este , mas não sei se consegue fazer o que pretendes.
User- sumeo
Pass- bfd,10ng
Reputação 6
Crachá +10
@@@palves1 


 


Não crie mais entradas na "Partilha de jogos e aplicações"! Aliás, deve de procurar e eliminar todas as que já existam com a porta 22.


 


Tente adquirir privilégios com o superuser postado pelo @@@xptopt 


 


faça novo 'maplist' tendo o cuidado de verificar a tal entrada "192.168.1.253:22" se ainda tem o indice 13.


experimente introduzir o seguinte comando na sessão telnet do router MEO:


 


nat mapdelete intf = InternetADSL index = 13


 


Eu consegui apagar a entrada no meu TG799vn. Mas tenho a impressão que isto não o vai ajudar.


 


Tem a certeza de não ter nenhum outro PC a executar um cliente ou servidor SSH em simultaneo. Lembre-se que não se pode usar uma porta em mais que um dispositivo na rede. Esta é a unica razão que parece plausivel para não conseguir usar a porta 22, tendo em conta o que se sabe até agora...


 


Diga-me tambem, por favor, qual o cliente SSH que está a usar e se, possivel qual o software do servidor...
 
Reputação 2
Com a ajuda do google descobri que o 192.168.1.253 é uma interface virtual que o router cria, para o print server:


 


 http://forum.meo.pt/t5/Equipamentos-Internet/Thomson-TG784-com-dois-IPs-na-rede-local/td-p/9996


 


Não existe nenhuma opção de print server na interface web, mas na secção de partilha de conteudos vejo:


 


"NOTA - Ao remover a entrada da aplicação "FTP Server" para o dispositivo 192.168.1.253, a funcionalidade de Servidor FTP em "Partilha de conteúdos" ficará inoperacional."


 


Talvez dê para desativar por telnet, mas estou sem grande esperança que o problema esteja aqui.


 


Estava a pensar talvez fazer um reset ao router -- talvez as configurações tenham ficado baralhadas com a atualização.  Mas o meu receio é saber os dados todos necessários para voltar a configurar a wan e o que for mais preciso para o iptv continuar a funcionar, e onde os introduzir.  Estou a olhar para interface web com o super user meo que deste, e pelo que parece os campos da ligação adsl são read-only.  Não estou a ver como se podem alterar..  "Ligação de banda larga > Serviços de Internet > InternetADSL" só tem "Visão geral | Detalhes" ...


 
Reputação 2
@NeoPT, 


 


Como expliquei antes, a unica razão por que criei uma nova entrada foi tentar enganar a interface web a apagar a já existent.  A minha teoria seria que talvez se criásse uma igualzinha à existente, e apagando-a, a interface web acabaria por apagar todas as que tivessem exatamente o mesmo mapeamento.  A teoria não funcionou.  Não tenho nenhum mapeamento criado na interface web (nem tinha antes do problema com o ssh ter aparecido, pois já tinha apanhado os de fábrica há muito tempo, por segurança).


 


> faça novo 'maplist' tendo o cuidado de verificar a tal entrada "192.168.1.253:22" se ainda tem o indice 13.


> experimente introduzir o seguinte comando na sessão telnet do router MEO:


> nat mapdelete intf = InternetADSL index = 13


 


Experimentei agora com o "sumeo", e mesmo assim, não funciona:


 


sumeo}=>nat maplist
Idx Type Interface Outside Address Inside Address Use
 1 NAT InternetADSL 188.xx.xxx.xxx:8 127.0.0.1:8 0
 2 NAT InternetADSL 188.xx.xxx.xxx 127.0.0.1 0
 3 NAPT InternetADSL 188.xx.xxx.xxx:21021 127.0.0.1:21 0
 4 NAPT InternetADSL 188.xx.xxx.xxx:23023 127.0.0.1:23 0
 5 NAPT InternetADSL 188.xx.xxx.xxx:51006 127.0.0.1:51006 0
 6 NAPT InternetADSL 188.xx.xxx.xxx:68 127.0.0.1:68 0
 7 NAPT InternetADSL 188.xx.xxx.xxx:68 188.xx.xxx.xxx:68 0
 8 NAPT InternetADSL 188.xx.xxx.xxx:5060 188.xx.xxx.xxx:5060 0
 9 NAPT InternetADSL 188.xx.xxx.xxx:49929 192.168.0.109:1032 2
 10 NAPT InternetADSL 188.xx.xxx.xxx:51065 192.168.0.105:56471 2
 11 NAPT InternetADSL 188.xx.xxx.xxx:58493 192.168.0.253:54371 69
 12 NAPT InternetADSL 188.xx.xxx.xxx:60796 192.168.0.106:1032 2
 13 NAPT InternetADSL 188.xx.xxx.xxx:22022 192.168.1.253:22 0
 14 NAPT InternetADSL 188.xx.xxx.xxx unmapped 103


 


{sumeo}=>nat mapdelete intf = InternetADSL index = 13
Command not allowed.



> Tem a certeza de não ter nenhum outro PC a executar um cliente ou servidor SSH em


> simultaneo.


 


Não estou a ver como isso pode interferir.  Note que estou a tentar contactar um servidor remoto, _não_ estou a tentar abrir/redirecional a porta SSH para um servidor local.


 


> Lembre-se que não se pode usar uma porta em mais que um dispositivo na rede.


 


Sim, mas não se aplica aqui.  O cliente ssh não usa uma porta fixa.  Simplesmente cria uma socket com porto 22 como _destino_.  E o problema está na porta destino.  De facto, consigo observar o problema com um simples "telnet servidor 22".


 


> Esta é a unica razão que parece plausivel para não conseguir usar a porta 22, tendo em conta o


> que se sabe até agora...


 


De tudo o que vejo até agora, ou o router me está a bloquear a porta, ou algo upstream do router.  Mas sabendo que o firmware foi atualizado na mesma altura que o problema aparaceu, é muito mais plausivel o problema ser no router.


 
Reputação 2
> Diga-me tambem, por favor, qual o cliente SSH que está a usar e se, possivel qual o software do servidor...


 


O cliente é o OpenSSH que vem com o Fedora 20.  A versão está no post original.  O versão do servidor que está servidor, não sei, mas a máquina penso que seja um RHEL; está na rede Red Hat.


 


No entanto, as versões do cliente/servidor ssh são irrelevantes.  O problema encontra-se a um nível abaixo, ao nivel das sockets.


 


Por exemple, com o strace, vejo:


 


$ strace telnet sourceware.org 22


...


socket(PF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
setsockopt(3, SOL_IP, IP_TOS, [16], 4) = 0
connect(3, {sa_family=AF_INET, sin_port=htons(22), sin_addr=inet_addr("209.132.180.131")}, 16


...


 


ou seja, a ligacão tcp não se chega a fazer.  Algo me está a barrar a passagem de trafego com destino ao porto 22.
Reputação 6
Crachá +10
palves1 escreveu:


> Tem a certeza de não ter nenhum outro PC a executar um cliente ou servidor SSH em


> simultaneo.


 


Não estou a ver como isso pode interferir.  Note que estou a tentar contactar um servidor remoto, _não_ estou a tentar abrir/redirecional a porta SSH para um servidor local.


 


> Lembre-se que não se pode usar uma porta em mais que um dispositivo na rede.


 


Sim, mas não se aplica aqui.  O cliente ssh não usa uma porta fixa.  Simplesmente cria uma socket com porto 22 como _destino_.  E o problema está na porta destino.  De facto, consigo observar o problema com um simples "telnet servidor 22".


 


> Esta é a unica razão que parece plausivel para não conseguir usar a porta 22, tendo em conta o


> que se sabe até agora...


 


De tudo o que vejo até agora, ou o router me está a bloquear a porta, ou algo upstream do router.  Mas sabendo que o firmware foi atualizado na mesma altura que o problema aparaceu, é muito mais plausivel o problema ser no router.


 



 


Não, tão linear. Teoricamente, se o cliente abrir a mesma porta 22 para saida do PC e, a mesma estiver já a ser usada para entrada na rede poderia haver aqui um impasse. Mas normalmente, sim, os clientes SSH inciam o serviço com uma porta diferente (ex: 55561 no Putty).


 


Sim, se nada de mais se verificar na sua rede e, um unico PC nela ligado, sem firewalls activas, não está a ser capaz de usar um simples serviço de cliente SSH, depois da actualização do firmware, então o problema, definitivamente deve estar no router. O que me deixa intrigado, afinal para que raio, está a MEO a lançar estas actualizações!? No meu router, com 10.2.1.D,  funciona tudo bem, excepto o Wi-fi, mas a isso já nem dou grande importáncia, desde que uso cabo ethernet.


 


Eu poderia aprofundar um pouco mais a investigação, mas infelizmente (ou felizmente) ainda tenho a versão 10.2.1.D e pelos vistos a MEO está a cortar-nos, deliberadamente, o acesso a opções avançadas de configuração nesses novos modelos. Estou praticamente, de mãos atadas.


 


Tente fazer o reset ao router, é o que pouco mais posso aconselhar. Talvez o @@@xptopt o possa ajudar melhor visto ele ter essa versão 10.2.1.L no router dele...


 


Em ultimo caso mostre o seu descontentamento junto do apoio ao cliente, demonstrando que com esse router não consegue usar um serviço importante para si e, exija o downgrade para versão anterior ou mesmo a substituição do router por outro que o sirva devidamente.


 


A MEO devia preocupar-se menos com campanhas publicitárias de ofertas e mais em servir melhor os seus clientes...


 


 EDIT: já agora, para que conste, qual o modelo do seu router MEO? Não terá, por acaso, mais nenhum outro router ligado ao router MEO?


 


EDIT2: Experimentou com outro cliente SSH e/ou outros Sistemas Operativos?
Reputação 6
Boas experimente desta forma
1º executa este comando para ver qual o índex que usa a porta 22


code:
nat tmpllist

 


2º executa este comando para remover a entrada


code:
nat tmpldelete index=30  (no meu caso foi 30)
saveall
system reboot

 


No meu caso os comandos foram aceites e a entrada desapareceu da tmpllist e da maplist


 


Também foi a pagina do router a Ferramentas / partilha de jogos e aplicações no canto superior direito cliquei em configurar e cancelei a atribuição do ip 192.168.1.253


 


Ps. Usando este comando em forward_fire índex 3 a acção seleccionada é Drop , pode ser esse o problema , podes editar a regra para acept.


code:
Firewall rule list 

 Pode ser esse o problema mas sinceramente não tenho a certeza 


 
Boas,

 

A solução é mesmo alterar a regra da firewall na chain forward_fire (index 3).

 

code:
:firewall rule modify chain=forward_fire index=3 newind
ex=3 action=accept
 

Thanks

PSal
Reputação 6
Boas
Presumo que tenhas testado com sucesso , posso marcar a tua resposta como solução ?
Reputação 2
 > Ps. Usando este comando em forward_fire índex 3 a acção seleccionada é Drop , pode ser


> esse o problema , podes editar a regra para accept.


> Firewall rule list


>  Pode ser esse o problema mas sinceramente não tenho a certeza 


 


Whooho!  Na mouche!


 


Antes:


 


code:
{sumeo}=>:firewall rule list chain=forward_fire

Rules (flags: C=Constant, D=Dynamic, E=Enable, L=Log)
=====
Chain Nr. Flags Rule name Action Conditions
------------------------------------------------------------------------------------------------------------------------------------------
forward_fire 1 C E SSH : accept : ssh *.private > *.*
2 C E SSH : accept : ssh *.83.240.175.40 > *.*
3 C E SSH : drop : ssh *.* > *.*
{sumeo}[firewall rule]=>

 


format=cli é útil para encontrar o comando certo para modificar:


 


code:
{sumeo}=>:firewall rule list chain=forward_fire format=cli

:firewall rule add chain=forward_fire index=1 name=SSH srcip=private serv=ssh log=disabled state=enabled action=accept
:firewall rule add chain=forward_fire index=2 name=SSH srcip=83.240.175.40 serv=ssh log=disabled state=enabled action=accept
:firewall rule add chain=forward_fire index=3 name=SSH serv=ssh log=disabled state=enabled action=drop

 


E então o comando para corrigir:


 


code:
{sumeo}=>:firewall rule modify chain=forward_fire index=3 name=SSH serv=ssh log=disabled state=enabled action=accept

 


Edit: não esquecer gravar a nova configuração:


 


code:
{sumeo}=>saveall 

 


Resultado:


 


code:
$ telnet sourceware.org 22
Trying 209.132.180.131...
Connected to sourceware.org.
Escape character is '^]'.
SSH-1.99-OpenSSH_5.3

 


Ufa...


 


P.S.: Para ligar por telnet ao router (IP pode ser outro), com permissões super user meo:


 


code:
$ telnet 192.168.0.254
Trying 192.168.0.254...
Connected to 192.168.0.254.
Escape character is '^]'.
Username : sumeo
Password : bfd,10ng

 
Reputação 6
Crachá +10
Bem, aproveitei e fui verificar a minha lista de regras:


 


Não tenho nenhuma 3ª entrada no forward_fire:


code:
forward_fire                     1    C E    SSH             : accept                           : ssh *.private > *.*
2 C E SSH : accept : ssh *.83.240.175.40 > *.*

 


 


E as duas que existem estão definidas para "Accept":


 


Supostamente, estas regras deviam sobrepor-se a essas:


 


code:
forward_level_Standard           1    C E    FromLAN         : accept                           : lan.* > *.*
2 C E DMZ : accept : wan.!private > lan.!private
forward_level_Disabled 1 C E AnyTraffic : accept : *.* > *.*

 


 Ainda bem que conseguiu solucionar assim o problema, @@@palves1 


 


EDIT: aparentemente basta eliminar a tal 3ª entrada, que está a mais na lista. Não se dêem ao trabalho de a modificar, simplesmente apaguem-na com o comando:


 


code:
firewall rule delete chain=forward_fire index=3

 


 


Obrigado @@@xptopt 
Reputação 6
Ainda bem que funcionou , este tópico vai ser útil para muitos clientes .
Reputação 2
Sim, obrigado.


 


Agora só me resta passar uma fatura à Meo do dia perdido, e a cobrir o incrivel telefonema de 25min para o 16209...  /sarcasm...  :-P


 
Estava com este problema há uns meses, ainda bem que o google te encontrou :)

 

Obrigado 
 

Também tinha este problema há meses.

Esta solução resolveu simultanemente o acesso SSH de entrada que também estava bloqueado.

😃
Reputação 6
Crachá +10
jonasmike escreveu:

 


Também tinha este problema há meses.


Esta solução resolveu simultanemente o acesso SSH de entrada que também estava bloqueado.


:D



Óptimo! Parece que é mesmo um problema com a preparação desta nova versão de firmware 10.2.1.L


 


Continuem a dar a dar o vosso feedback.


 


Não se esqueçam de fazer "Like" se obtiveram ajuda.


 


Atentamente,
Devo dizer que também não conseguia inbound há alguns dias , mas esta solução também me resolveu o problema! Obrigado 
Sugestão: Em alternativa a autorizar cegamente os packets ssh *.* > *.* (passando a regra 3 da chain forward_fire de drop para accept) ou mesmo removendo essa regra, o que fiz foi adicionar uma nova regra (que fique antes do default drop) e que explicitamente permita a passagem de ssh com origem na lan:

code:
:firewall rule add chain=forward_fire index=3 name=SSH srcintf=lan serv=ssh log=disabled state=enabled action=accept
 

 

Antes:

code:
forward_fire   1    C E    SSH             : accept       : ssh *.private > *.*
2 C E SSH : accept : ssh *.83.240.175.40 > *.*
3 C E SSH : drop : ssh *.* > *.*
 

Depois:

code:
forward_fire   1    C E    SSH             : accept       : ssh *.private > *.*
2 C E SSH : accept : ssh *.83.240.175.40 > *.*
3 C E SSH : accept : ssh lan.* > *.*
4 C E SSH : drop : ssh *.* > *.*