iptables ssh trouble, caffa, 30-Ноя-09, 11:14 [смотреть все]помогите настроить iptables требуется разрешить входящие соединения по ssh для всех и вся пишу такое правило $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 22 -j ACCEPT (в policy INPUT DROP и FORWARD DROP)на всякий случай приведу кусок скрипта полностью start_fw() { echo 1 > /proc/sys/net/ipv4/ip_forward $IPT -F $IPT -X # default options policy #------ COMMON CHANNELS -------- $IPT -N com_allow $IPT -F com_allow $IPT -A com_allow -p tcp -j ACCEPT $IPT -A com_allow -p udp -j ACCEPT #------- INPUT CHANNELS ------- # accept icmp input $IPT -N icmp_in $IPT -A icmp_in -p icmp --icmp-type 8 -j ACCEPT $IPT -A icmp_in -p icmp --icmp-type 0 -j ACCEPT $IPT -A icmp_in -p icmp --icmp-type 3 -j ACCEPT #ssh #$IPT -N ssh_in #$IPT -A ssh_in -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 3 -j DROP #$IPT -A ssh_in -m state --state NEW -m recent --name SSH --set -j ACCEPT #$IPT -A ssh_in -j ACCEPT #-------- INPUT ---------------- $IPT -A INPUT -p icmp -j icmp_in $IPT -A INPUT -s $DNS -p udp -j com_allow #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 22 -j ACCEPT $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 443 -j ACCEPT $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 80 -j ACCEPT } policy() { $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP } отключаю фаер - все работает (отключение подразумевает задание разрешения policy для 3-х цепочек) тестю shh localhost netstat -atn | grep 22 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 1 127.0.0.1:35607 127.0.0.1:22 SYN_SENT отсюда видно, что пытаемся установить соедиение и все -дальше, наверное, фаер система slackware13.0
|
- iptables ssh trouble, Slimm, 12:28 , 30-Ноя-09 (1)
- iptables ssh trouble, caffa, 13:21 , 30-Ноя-09 (2)
спасибо, проблема решилась $IPT -A INPUT -p tcp -i lo -j ACCEPT только вот с чем еще у меня могут быть проблемы?
- iptables ssh trouble, daevy, 15:04 , 01-Дек-09 (4)
- iptables ssh trouble, Andrey Mitrofanov, 15:30 , 01-Дек-09 (5)
- iptables ssh trouble, caffa, 03:05 , 02-Дек-09 (6)
daevy, Andrey Mitrofanov, вместо того, чтобы писать загадочные слова и улыбки, лучше дайте мне понять, в чем именно я не отдаю себе отчет ) позволю себе привести здесь некоторые свои рассуждения по поводу такого спорного разрешения исходящих пакетов, возможно я что-то не понимаю на базовом уровне, но надеюсь меня и поправят или просветят) 1) у меня домашний компьютер и не очень хочется безумствовать по поводу безопасности 2) да, возможно какая-нить тварь сможет открыть бэкдор на каком-нить порту и сливать там что-то куда-то, но тогда встает вопрос как она будет синхронизироваться, если на вход все перекрыто 3) возьмем для примера браузер, та же команда netstat -atnp покажет, что в данный момент у меня открыто 10 портов, с которых установлено соединение на 80 порты веб-узлов, значит firefox должен мочь открыть любой доступный порт на машине. Тогда мы можем разрешать исходящие соединения только на 80 порт, но в таком случае та же тварь может коннектится на него же, смысл тогда в этом ограничении пожалуйста, напишите свое мнение
|