Forum » Omrežja in internet » iptables problem z SSH
iptables problem z SSH
sverde21 ::
Torej imam takalo situacijo:
net-->router(Linux)-->workstation(Win)
in da limam odlomek, ki me zajebava:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
Tole lepo dela ampak kot naslov pove, je neki v zvezi z SSH tle, torej če zadnji dve vrstici dopolnem takole:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
pa stvar ne dela (prekine komunikacijo z SSH)... v čem je zdej fora, ko ga omejim na port, ki ga uporablja SSH, ga skine po moji logiki bi moralo še naprej delovati ampak ne..
net-->router(Linux)-->workstation(Win)
in da limam odlomek, ki me zajebava:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
Tole lepo dela ampak kot naslov pove, je neki v zvezi z SSH tle, torej če zadnji dve vrstici dopolnem takole:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
pa stvar ne dela (prekine komunikacijo z SSH)... v čem je zdej fora, ko ga omejim na port, ki ga uporablja SSH, ga skine po moji logiki bi moralo še naprej delovati ampak ne..
<?php echo `w`; ?>
- spremenil: sverde21 ()
r5r ::
Recimo INPUT paketi prihajajo k tebi, torej iščejo dport (destination).
OUTPUT paketi odhajajo iz sistema, zato zapuščajo iz sport (source).
OUTPUT paketi odhajajo iz sistema, zato zapuščajo iz sport (source).
And it makes me wonder.
kekz ::
Še malo dopolnjeno:
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
BigWhale ::
Ampak takrat, ko bos razumel, ne ko bos prebral. Branje samo po sebi ni nic posebnega. To se otroci v prvem razredu naucijo... ;>
sverde21 ::
@64202: ni cajta
Sicr sm pa že zakapiru kolkr tolk :) rabš sam ene par primerov z dobrimi komentarji, pa ti ni treba tist nakladanje brat
Sicr sm pa že zakapiru kolkr tolk :) rabš sam ene par primerov z dobrimi komentarji, pa ti ni treba tist nakladanje brat
<?php echo `w`; ?>
sverde21 ::
Še na en problemček sm naletu in sicr imam takalo skripto:
Problem: odpreti hočem port 37631 vendar ga ne odpre, niti, če vse porte forwardam (iptables -A FORWARD -j ACCEPT)
Najbolj čudno je pa to, da sem z isto skripto imel že odprt ta port (umes se pa nism nič špilal z iptables )
# cat /etc/ppp/firewall.sh #!/bin/sh # This part cleans up everything before starting a new ruleset iptables -F INPUT iptables -F FORWARD iptables -X myfw iptables -F # Here we go... insmod -L ip_conntrack insmod -L ip_conntrack_ftp iptables -N myfw iptables -A myfw -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A myfw -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A myfw -p tcp --dport 20 -j ACCEPT iptables -A myfw -p tcp --dport 21 -j ACCEPT iptables -A myfw -p tcp --dport 22 -j ACCEPT iptables -A myfw -p tcp --dport 26 -j ACCEPT iptables -A myfw -p tcp --dport 80 -j ACCEPT iptables -A myfw -p tcp --dport 443 -j ACCEPT # uTorrent iptables -A FORWARD -p tcp --dport 37631 -j ACCEPT # Default rule: DROP everything iptables -A myfw -j DROP iptables -A INPUT -j myfw iptables -A FORWARD -j myfw # SYN flood protection iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # NAT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #---------------------------------------------------------------------------------------------------- # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination myfw all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:37631 myfw all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain myfw (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:26 ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:https DROP all -- anywhere anywhere
Problem: odpreti hočem port 37631 vendar ga ne odpre, niti, če vse porte forwardam (iptables -A FORWARD -j ACCEPT)
Najbolj čudno je pa to, da sem z isto skripto imel že odprt ta port (umes se pa nism nič špilal z iptables )
<?php echo `w`; ?>
Zgodovina sprememb…
- spremenil: sverde21 ()
b ::
Vrstni red je pomemben.
Tvoj accept mora bit pred dropom, cene sploh ne pride do njega.
Namesto iptables -A uporabi iptables -I myfw 1 ...
To ti postavi tvoj rule na prvo mesto tabele.
Tvoj accept mora bit pred dropom, cene sploh ne pride do njega.
Namesto iptables -A uporabi iptables -I myfw 1 ...
To ti postavi tvoj rule na prvo mesto tabele.
sverde21 ::
Sem dau FORWARD tega porta takoj za iptables -F (se pravi čisto zgoraj) in še vedno pravi da je port zaprt
P.S.: Bom kr -A uporablu, ker z -A dodaš v verigo pravilo, z -I pa dodaš verigo, mam tudi zgoraj -N ki ustvari verigo....
P.S.: Bom kr -A uporablu, ker z -A dodaš v verigo pravilo, z -I pa dodaš verigo, mam tudi zgoraj -N ki ustvari verigo....
<?php echo `w`; ?>
64202 ::
iptables -A FORWARD samo dovoli prehod paketov, rabiš še dejanski NAT, nekaj takega:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 37631 -j DNAT --to-destination 1.2.3.4
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 37631 -j DNAT --to-destination 1.2.3.4
I am NaN, I am a free man!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | iptables problemOddelek: Operacijski sistemi | 2256 (2022) | poweroff |
» | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2256 (2078) | SasoS |
» | pomoč pri iptablesOddelek: Omrežja in internet | 2607 (2436) | HellRaiseR |
» | iptables + forwardOddelek: Operacijski sistemi | 2333 (1908) | tx-z |
» | Debian blokira IP...Oddelek: Operacijski sistemi | 1117 (903) | BigWhale |