За последние 60 дней ни разу не выходила
Сайт листа:
http://www.linuxrsp.ru
Открыт:
25-07-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.discuss-list@subscribe.ru
Адрес
модератора: comp.soft.linux.discuss-owner@subscribe.ru
Многоуважаемый ALL!
Я использую iptables для ограждения себя от всех. ssh для управления
серваком из локалки, но тут мне понадобилось входить на сервер по ssh
извне. У меня сейчас стоит политика INPUT DENY. простое добавление
разрешения с XXX.XXX.XXX.XXX на ssh порт успехов не дает. Не
подскажете что нужно изменить?
Hello Prior!
политика по умолчанию применяется по окончании прохождения
пакета по цепочке.
тобишь если iptables видит что пакет пришел на 22 порт от такого-то
хоста, применяет политику ACCEPT, если после прохождения всей цепочки
iptables не нашел подходящего к нему правила, то уже после этого он
применяет политику по умолчанию DROP. размещение в контексте скрипта
этой установки роли не играет. отсюда и правило:"все что не разрешено
- запрещено!!!"
например:
....
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
....
....
IPTABLES -A INPUT -p TCP -s 0/0 --dport 22 -j ACCEPT
IPTABLES -A FORWARD -p TCP -s 0/0 --dport 22 -j ACCEPT
IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 22 -j ACCEPT
Friday, December 26, 2003, 2:10:04 PM, Ваше письмо:
Здравствуйте, Александр.
Вы писали 27 декабря 2003 г., 12:16:08:
Это все конечно круто, но при вводе строки на ACCEPT и последующем
iptables-save linux намертво виснет... помогает только hardware-reboot
что делать?
[root@server /]# iptables-save
# Generated by iptables-save v1.2.7a on Mon Dec 29 12:07:16 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -s xxx.xxx.xxx.xxx -d local_ip -i ethX -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx -d local_ip -i ethX -p tcp -m tcp --sport 113 -j
ACCEPT
-A OUTPUT -s local_ip -d xxx.xxx.xxx.xxx -o eth0 -p tcp -m tcp --sport 22 -j
ACCEPT
-A OUTPUT -s local_ip -d xxx.xxx.xxx.xxx -o eth0 -p tcp -m tcp --dport 113 -j
ACCEPT
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
Hello Prior!
попробуй создать несколько цепочек,
т.е. чтобы не напрямую задавалось ACCEPT, а
скажем сначала создай цепочку tcp_pacets
туда будут отправляться все tcp пакеты, затем
создай цепочку allow куда будут направляться все то что разрешено
а вообще дам ссылку, полезно почитать, там и пример есть:
http://www.opennet.ru/docs/RUS/iptables/index.html
с Новым годом!, и хорошь трудиться, пора и расслабиться :)
Saturday, December 27, 2003, 8:31:10 PM, Ваше письмо:
Уважаемый Prior!!!
Friday, December 26, 2003, 2:10:04 PM, you wrote:
м.б. у тебя и output заблокирован?
разреши исходжящиен пакеты.
--
С Уважением,
Сергей.
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
On Fri, Dec 26, 2003 at 02:10:04PM +0300, Prior wrote:
Я дучаю, что дело в порядке правил. Т.е. сначала отрабатывает
INPUT DENY и пакет не доходиь до твоего правила. Попробуй удалить все
правила из INPUT, затем добавь правило, разрешающее тебе заходить по
shh, а затем правило, запрещающее все остальные соединения.