Здравствуйте!
На сервере используется Fedora Core 6. Существует необходимость предоставить доступ по ssh только конкретным ip адресам. Использую такой синтаксис в iptables:
-A input -f ip-адрес -p tcp -m tcp --dport 22 -j ACCEPT
Но однако после перезапуска iptables и сервера все-равно доступ получают все. Прошу помогите разобраться...
>Здравствуйте!
>На сервере используется Fedora Core 6. Существует необходимость предоставить доступ по
>ssh только конкретным ip адресам. Использую такой синтаксис в iptables:
>-A input -f ip-адрес -p tcp -m tcp --dport 22 -j
>ACCEPT
>Но однако после перезапуска iptables и сервера все-равно доступ получают все. Прошу
>помогите разобраться...Проверь если политика по умолчанию не отбрасывать все неразрешенные соединения, тогда после разрешения доступа к порту необходимо добавить правило запрешающее доступ к порту всем и вся:
-A INPUT -p tcp -m tcp -s IP-адрес --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROPхотя можно в принципе сделать так: если IP не <разрешеный IP> и протокол tcp а порт 22 то отбрасываем все )) но в этом случае разрешается только один IP а в вышеизложенном можносделать цепочку разрешеных и потом отбрасывать все прочие
-A INPUT -p tcp -m tcp ! -s IP-адрес --sport 22 -j DROP
Благодарю!
Не стоит делать iptables-ом то, что можно корректно сделать настройкой демона.$ man sshd_config
...
AllowUsers
This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for user names that
match one of the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If
the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts.
The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.
...