The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables ssh trouble"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"iptables ssh trouble"  +/
Сообщение от caffa email(ok) on 30-Ноя-09, 11:14 
помогите настроить iptables
требуется разрешить входящие соединения по ssh для всех и вся
пишу такое правило
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 22 -j ACCEPT
(в policy INPUT DROP и FORWARD DROP)

на всякий случай приведу кусок скрипта полностью

start_fw()
{
        echo 1 > /proc/sys/net/ipv4/ip_forward
        $IPT -F
        $IPT -X
        # default options
        policy

        #------ COMMON CHANNELS --------
        $IPT -N com_allow
        $IPT -F com_allow
        $IPT -A com_allow -p tcp -j ACCEPT
        $IPT -A com_allow -p udp -j ACCEPT

        #------- INPUT  CHANNELS -------
        # accept icmp input
        $IPT -N icmp_in
        $IPT -A icmp_in -p icmp --icmp-type 8 -j ACCEPT
        $IPT -A icmp_in -p icmp --icmp-type 0 -j ACCEPT
        $IPT -A icmp_in -p icmp --icmp-type 3 -j ACCEPT
        #ssh
        #$IPT -N ssh_in
        #$IPT -A ssh_in -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 3 -j DROP
        #$IPT -A ssh_in -m state --state NEW -m recent --name SSH --set -j ACCEPT
        #$IPT -A ssh_in -j ACCEPT

        #-------- INPUT ----------------
        $IPT -A INPUT -p icmp -j icmp_in
        $IPT -A INPUT -s $DNS -p udp -j com_allow
        #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
        $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 22 -j ACCEPT
        $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 443 -j ACCEPT
        $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 80 -j ACCEPT
}

policy()
{
        $IPT -P INPUT DROP
        $IPT -P OUTPUT ACCEPT
        $IPT -P FORWARD DROP
}

отключаю фаер - все работает (отключение подразумевает задание разрешения policy для 3-х цепочек)
тестю shh localhost

netstat -atn | grep 22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      1 127.0.0.1:35607         127.0.0.1:22            SYN_SENT
отсюда видно, что пытаемся установить соедиение и все -дальше, наверное, фаер

система slackware13.0


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables ssh trouble"  +/
Сообщение от Slimm (??) on 30-Ноя-09, 12:28 
$INET_IFACE это же не localhost ведь правда?
а тогда где правило разрешающее ssh с localhost ?

вообще у тебя не только с ssh проблемы будут ...
надо разрешить бегать пакетикам с и на lo это как минимум!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables ssh trouble"  +/
Сообщение от caffa email(ok) on 30-Ноя-09, 13:21 
спасибо, проблема решилась $IPT -A INPUT -p tcp -i lo -j ACCEPT
только вот с чем еще у меня могут быть проблемы?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables ssh trouble"  +/
Сообщение от Slimm (??) on 30-Ноя-09, 14:11 
>спасибо, проблема решилась $IPT -A INPUT -p tcp -i lo -j ACCEPT
>
>только вот с чем еще у меня могут быть проблемы?

проблемы соединения сервисов локально
я бы разрешил все
$IPT -A INPUT -i lo -j ACCEPT
своим то сервисам мы ж доверяем ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables ssh trouble"  +/
Сообщение от daevy (ok) on 01-Дек-09, 15:04 
про OUTPUT вобще не слова... сурово)))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables ssh trouble"  +/
Сообщение от Andrey Mitrofanov on 01-Дек-09, 15:30 
"-P OUTPUT ACCEPT" - вполне себе слова.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "iptables ssh trouble"  +/
Сообщение от caffa email(ok) on 02-Дек-09, 03:05 
daevy, Andrey Mitrofanov, вместо того, чтобы писать загадочные слова и улыбки, лучше дайте мне понять, в чем именно я не отдаю себе отчет )
позволю себе привести здесь некоторые свои рассуждения по поводу такого спорного разрешения исходящих пакетов, возможно я что-то не понимаю на базовом уровне, но надеюсь меня и поправят или просветят)
1) у меня домашний компьютер и не очень хочется безумствовать по поводу безопасности
2) да, возможно какая-нить тварь сможет открыть бэкдор на каком-нить порту и сливать там что-то куда-то, но тогда встает вопрос как она будет синхронизироваться, если на вход все перекрыто
3) возьмем для примера браузер, та же команда netstat -atnp покажет, что в данный момент у меня открыто 10 портов, с которых установлено соединение на 80 порты веб-узлов, значит firefox должен мочь открыть любой доступный порт на машине. Тогда мы можем разрешать исходящие соединения только на 80 порт, но в таком случае та же тварь может коннектится на него же, смысл тогда в этом ограничении
пожалуйста, напишите свое мнение
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру