Forum » Operacijski sistemi » [linux] sshd virtual host in iptables connlimit
[linux] sshd virtual host in iptables connlimit
'FireSTORM' ::
v apache serveru sem lahko naštimal več vhostov
in seveda registriral poddomene
tako da ko sem obiskal npr. stran
domena.org sem prišel na eno stran
ko sem obiskal
stran2.domena.org sem prišel na drugo stran
stran3.domena.org spet na tretjo stran
itd itd...
IP je pa vedno bil enak
torej domena.org je kazala na IP npr. 123.123.123.123
tudi stran2.domena.org in stran3.domena.org sta kazali na enak IP 123.123.123.123
zdaj pa me zanima za sshd in končno tudi vse ostale servise
da bi imel recimo 5 linux boxov
in sicer tako:
linux-router, potem pa 4 ostale boxe vsak na svoji mrežni
torej bi imel eth0, 1,2,3,4
na vseh 4ih boxah za routerjem bi bil odprt port 22 za ssh povezave, router bi mel zaprto
domene bi ble pa recimo tako:
box1.domena.org prva kibla
box2.domena.org druga kibla
itd
in ko bi kot klient iz "zunanjosti" se poskušal povezati na npr. box1.domena.org port 22 protokol ssh bi se povezal na prvo boxo
ko bi hotel prit na drugo boxo bi se povezal pa na box2.domena.org port 22 protokol ssh
itd
morda bi se to dalo rešiti z ListenAddress v sshd_config?
ampak to bi rešilo problem samo z SSH, če bi se ga dalo sploh tako rešiti
problem bi pa nastal ko bi npr. odprl 2 enaka servisa na dveh različnih boxih npr. 2. in 4.
oba2 na istem portu
torej se da kako rešiti z ipables?
da iptables ločuje virtual hoste?
no pa še iptables issue:
rad bi omejeval svoje uporabnike z večkratnimi izhodnimi povezavami na določen IP
torej iptables rule bi bil nekako tako:
iptables -t filter -A OUTPUT -o ppp0 -p tcp -m owner --uid-owner (owner UID) -m connlimit --connlimit (limit) -d (destination ip) -j REJECT
in zato bi rabil connlimit
ampak to je kernel module
no kewl, kernel recompile, no sweat...
baje naj bi bil modul ipt_connlimit
no odprem /usr/src/linux/.config
in iščem ipt_connlimit
in tega ni nikjer
kernel je pa 2.4.33.3
je možno da 2.4 kernel tega modula nima?
bom moral preiti na 2.6 za to zadevo ali se da še kako drugače rešiti?
edit: za iptables issue
rabil bi še tudi connlimit za ip6tables zaradi IPv6 outgoing connections
in seveda registriral poddomene
tako da ko sem obiskal npr. stran
domena.org sem prišel na eno stran
ko sem obiskal
stran2.domena.org sem prišel na drugo stran
stran3.domena.org spet na tretjo stran
itd itd...
IP je pa vedno bil enak
torej domena.org je kazala na IP npr. 123.123.123.123
tudi stran2.domena.org in stran3.domena.org sta kazali na enak IP 123.123.123.123
zdaj pa me zanima za sshd in končno tudi vse ostale servise
da bi imel recimo 5 linux boxov
in sicer tako:
linux-router, potem pa 4 ostale boxe vsak na svoji mrežni
torej bi imel eth0, 1,2,3,4
na vseh 4ih boxah za routerjem bi bil odprt port 22 za ssh povezave, router bi mel zaprto
domene bi ble pa recimo tako:
box1.domena.org prva kibla
box2.domena.org druga kibla
itd
in ko bi kot klient iz "zunanjosti" se poskušal povezati na npr. box1.domena.org port 22 protokol ssh bi se povezal na prvo boxo
ko bi hotel prit na drugo boxo bi se povezal pa na box2.domena.org port 22 protokol ssh
itd
morda bi se to dalo rešiti z ListenAddress v sshd_config?
ampak to bi rešilo problem samo z SSH, če bi se ga dalo sploh tako rešiti
problem bi pa nastal ko bi npr. odprl 2 enaka servisa na dveh različnih boxih npr. 2. in 4.
oba2 na istem portu
torej se da kako rešiti z ipables?
da iptables ločuje virtual hoste?
no pa še iptables issue:
rad bi omejeval svoje uporabnike z večkratnimi izhodnimi povezavami na določen IP
torej iptables rule bi bil nekako tako:
iptables -t filter -A OUTPUT -o ppp0 -p tcp -m owner --uid-owner (owner UID) -m connlimit --connlimit (limit) -d (destination ip) -j REJECT
in zato bi rabil connlimit
ampak to je kernel module
no kewl, kernel recompile, no sweat...
baje naj bi bil modul ipt_connlimit
no odprem /usr/src/linux/.config
in iščem ipt_connlimit
in tega ni nikjer
kernel je pa 2.4.33.3
je možno da 2.4 kernel tega modula nima?
bom moral preiti na 2.6 za to zadevo ali se da še kako drugače rešiti?
edit: za iptables issue
rabil bi še tudi connlimit za ip6tables zaradi IPv6 outgoing connections
Those penguins.... They sure aint normal....
- spremenil: 'FireSTORM' ()
SasoS ::
Huh...vprašanj veliko :)
Skoraj prepričan sem da vhostov ne moreš imeti na ssh-ju. Vse domene namreč kažejo na isti IP, in že klient preden se priklopi, pretvori domeno v IP. Vhosti so možni edino pri http-ju, zato ker klient pošlje URL kamor se je priklopil v headerju in tako apache ve kam te usmerit.
Za connlimit - poženi make menuconfig (ne editiraj na roko!). Nisem prepričan če je opcija v vanilla 2.4 kernelu, če ni si poglej patch-o-matic, prepričan sem da mora bit patch notri tudi za 2.4.
Skoraj prepričan sem da vhostov ne moreš imeti na ssh-ju. Vse domene namreč kažejo na isti IP, in že klient preden se priklopi, pretvori domeno v IP. Vhosti so možni edino pri http-ju, zato ker klient pošlje URL kamor se je priklopil v headerju in tako apache ve kam te usmerit.
Za connlimit - poženi make menuconfig (ne editiraj na roko!). Nisem prepričan če je opcija v vanilla 2.4 kernelu, če ni si poglej patch-o-matic, prepričan sem da mora bit patch notri tudi za 2.4.
'FireSTORM' ::
do zdaj sem še vedno "na roko" editiral .config in potem pognal make oldconfig
do zdaj še vedno uspešno brez errorja :)
in res moral bom patchat kernel
vsaj tak je stric google povedal
ampak ko bo čas in se mi bo dalo :D
za ssh me pa potem reši samo da vsaki boxi dodelim drugačen ssh listen port?
do zdaj še vedno uspešno brez errorja :)
in res moral bom patchat kernel
vsaj tak je stric google povedal
ampak ko bo čas in se mi bo dalo :D
za ssh me pa potem reši samo da vsaki boxi dodelim drugačen ssh listen port?
Those penguins.... They sure aint normal....
Zgodovina sprememb…
- spremenil: 'FireSTORM' ()
SasoS ::
ni nujno da spremeniš listen port, lahko tudi v iptables naštimaš forwardanje...tako da priklop na tvojo domeno na port xy gre potem naprej na pravi box, port 22.
'FireSTORM' ::
ja...
skratka "zunanji svet" bo videl več portov za ssh
in vsak port bi "obiskovalce" popeljal na svoj box
saj sem malce dvomil da bi v to šlo, ko si pa omenil da es naprej pošlje IP ne host tako kot pri web browsanju me je pa butnilo in se mse malo praskal da sam nisem pomislil na to :)
skratka "zunanji svet" bo videl več portov za ssh
in vsak port bi "obiskovalce" popeljal na svoj box
saj sem malce dvomil da bi v to šlo, ko si pa omenil da es naprej pošlje IP ne host tako kot pri web browsanju me je pa butnilo in se mse malo praskal da sam nisem pomislil na to :)
Those penguins.... They sure aint normal....
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Požarni zid, RDP in SSHOddelek: Omrežja in internet | 2878 (2483) | specing |
| » | Debian in sftpOddelek: Operacijski sistemi | 1031 (971) | OmegaBlue |
| » | Večina emailov še vedno spamOddelek: Novice / Varnost | 4945 (3534) | Dragi |
| » | Poddomena na drugem serverjuOddelek: Izdelava spletišč | 1162 (997) | klevic |
| » | adsl(staticni ip) + domena.comOddelek: Omrežja in internet | 1353 (1045) | DC- |