привет всем! есть задачка, связанная с настройкой iptables:на удаленной машине поднят ssh;
в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным доступ закрыт;нужно сделать правило, чтобы можно было получить доступ по ssh с динамического адреса, например по dial-up
p.s. просто не хочется открывать доступ по ssh для всех с любого адреса
поэтому, если кто что может, то посоветуйте, пожалуйста!заранее всем признателен!
>привет всем! есть задачка, связанная с настройкой iptables:
>
>на удаленной машине поднят ssh;
>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>доступ закрыт;
>
>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>адреса, например по dial-up
>
>p.s. просто не хочется открывать доступ по ssh для всех с любого
>адреса
>поэтому, если кто что может, то посоветуйте, пожалуйста!
>
>заранее всем признателен!
А откуда iptables узнает, что этот IP, полученный динамически, находится в списке разрешенных? Его же там нет.
Как вариант - прописать подсеть провайдера в ACCEPT.
Если вы в одной подсети с удаленной машиной, то можно построить правило на MAC-адресе вашей машины.
>А откуда iptables узнает, что этот IP, полученный динамически, находится в списке
>разрешенных? Его же там нет.
>Как вариант - прописать подсеть провайдера в ACCEPT.
>Если вы в одной подсети с удаленной машиной, то можно построить правило
>на MAC-адресе вашей машины.
нет, машины находятся в разных подсетях;
>А откуда iptables узнает, что этот IP, полученный динамически, находится в списке
>разрешенных? Его же там нет.
>Как вариант - прописать подсеть провайдера в ACCEPT.
>Если вы в одной подсети с удаленной машиной, то можно построить правило
>на MAC-адресе вашей машины.
---------------------------------------------
то есть ты имеешь ввиду сделать правило для всего диапазона адресов сети провайдера, правильно я тебя понял?а что если человек выходит через прокси провайдера, тогда, я так понимаю, достаточно прописать в разрешенных адрес прокси-сервера, как ты считаешь?
>привет всем! есть задачка, связанная с настройкой iptables:
>
>на удаленной машине поднят ssh;
>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>доступ закрыт;
>
>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>адреса, например по dial-up
>
>p.s. просто не хочется открывать доступ по ssh для всех с любого
>адреса
>поэтому, если кто что может, то посоветуйте, пожалуйста!
>
>заранее всем признателен!я вот как сделал:
суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111. Нет,нет демон (sshd) на удаленной машине поднят только один и слушает он родной порт, и пускаем мы на этот порт только нужные адреса.
Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh -p 1111 удаленная машина.
>>привет всем! есть задачка, связанная с настройкой iptables:
>>
>>на удаленной машине поднят ssh;
>>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>>доступ закрыт;
>>
>>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>>адреса, например по dial-up
>>
>>p.s. просто не хочется открывать доступ по ssh для всех с любого
>>адреса
>>поэтому, если кто что может, то посоветуйте, пожалуйста!
>>
>>заранее всем признателен!
>
>я вот как сделал:
>суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111.
>Нет,нет демон (sshd) на удаленной машине поднят только один и слушает
>он родной порт, и пускаем мы на этот порт только нужные
>адреса.
>Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на
>условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
>Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с
>соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh
>-p 1111 удаленная машина.
-------------------------------------
по данному предложению мне не понятно, как можно определить "интересующие пакеты" от не нужных "чужих", по какому признаку,
а поэтому не ясно и как промаркеровать "интересующие пакеты"----------------------------------------
>>я вот как сделал:
>>суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111.
>>Нет,нет демон (sshd) на удаленной машине поднят только один и слушает
>>он родной порт, и пускаем мы на этот порт только нужные
>>адреса.
>>Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на
>>условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
>>Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с
>>соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh
>>-p 1111 удаленная машина.
>
>
>-------------------------------------
>по данному предложению мне не понятно, как можно определить "интересующие пакеты" от
>не нужных "чужих", по какому признаку,
>а поэтому не ясно и как промаркеровать "интересующие пакеты"
>
>----------------------------------------...я же сказал "от любого источника" - пускаем всех, много-ли найдется народу, знающего о нашем порте 1111 (сканер его не покажет).
>я вот как сделал:
>суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111.
>Нет,нет демон (sshd) на удаленной машине поднят только один и слушает
>он родной порт, и пускаем мы на этот порт только нужные
>адреса.
>Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на
>условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
>Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с
>соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh
>-p 1111 удаленная машина.А можно посмотреть на рабочий скриптик по вышеуказонной схемке плз?
Mike a script. Once client connected it will add rule to IPTABLES. Make sure you have checked large ip routing tables option in kernel checked.
Once client disconnected - second script to remove it from iptables.Or - add whole network and you're good to go!
>привет всем! есть задачка, связанная с настройкой iptables:
>
>на удаленной машине поднят ssh;
>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>доступ закрыт;
>
>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>адреса, например по dial-up
>
>p.s. просто не хочется открывать доступ по ssh для всех с любого
>адреса
>поэтому, если кто что может, то посоветуйте, пожалуйста!
>
>заранее всем признателен!
Ставите модем и поднимаете dial-in сервер. Адрес звонящего прописываете статически. Например у меня локалка 192.168.100.0/255, адрес хоста 192.168.100.254, удаленный адрес ppp0 прописываем 192.168.100.100. Разрешаете ему вход по ssh и доступ к iptables.
Всё, вы не зависите от провайдера, и можете попадать к себе с любого компьютера с модемом (там перед звонком просто конфигурируете параметры соединения, потом всё сносите и затираете).
>Ставите модем и поднимаете dial-in сервер. Адрес звонящего прописываете статически. Например у
>меня локалка 192.168.100.0/255, адрес хоста 192.168.100.254, удаленный адрес ppp0 прописываем 192.168.100.100.
>Разрешаете ему вход по ssh и доступ к iptables.
>Всё, вы не зависите от провайдера, и можете попадать к себе с
>любого компьютера с модемом (там перед звонком просто конфигурируете параметры соединения,
>потом всё сносите и затираете).
наша удаленная машина стоит на коллокейшене и с dial-in сейчас не получится, к сожелению
>наша удаленная машина стоит на коллокейшене и с dial-in сейчас не получится,
>к сожелениюну а публичные сервисы на ней запущены? можно через них открывать ssh.
>>наша удаленная машина стоит на коллокейшене и с dial-in сейчас не получится,
>>к сожелению
>
>ну а публичные сервисы на ней запущены? можно через них открывать ssh.
>на этой машине есть web-сайт, поэтому из публичных сервисов запущен apache
Прочтите про "port knocking". Это как раз Ваш случай.
http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-A...
>Прочтите про "port knocking". Это как раз Ваш случай.
>http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-A...
спасибо, посмотрю и прочитаю обязательно!
>>Прочтите про "port knocking". Это как раз Ваш случай.
>>http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-A...
>
>
>спасибо, посмотрю и прочитаю обязательно!
А что будет если кнокд умрет )