помогите с iptables

0

0

Господа!

Чё-то я ничего не понимаю, объясните, где грабли.

Есть у меня скриптец, который генерит правила для IPTABLES, он стартует в /etc/rcS.d.

Скрипт этот в том числе содержит строки касательно SSH:

iptables -A ochain -p tcp --sport 1024:65535 --dport 22 -j ACCEPT
iptables -A ichain -p tcp ! --syn --sport 22 --dport 1024:65535 -j ACCEPT

и в конце:
iptables -A INPUT -j ichain
iptables -A OUTPUT -j ochain

Идея этого дела (про SSH) - чтобы я мог с компа ходить куда угодно по SSH, а ко мне никто по нему же не мог бы подключиться...

Так вот! Когда система стартует, захожу по ssh на удалённый сервак, а с него пытаюсь по ssh же зайти на свою машину.... и эта попытка удаётся (чего по идее быть не должно). Запускаю этот скрипт ещё раз руками... и происходит то, что и хотелось - входящие соединения по ssh обрубаются.

Не понимаю, в чём дело. Когда система стартует, при запуске iptables -L рисуются все правила, какие и должны (которые в скрипте прописаны), т.е. похоже, что iptables настроены правильно уже при загрузке системы... почему же тогда SSH входящие пропускает ????

Спасибо.

Ссылка

←	Проблемы с НАТ

cp1251 &phpmyadmin 2.6.2

→

<Когда система стартует, при запуске iptables -L рисуются все правила

А политики поумолчанию?, мож че их переустанавливает после /etc/rcS.d

lvi ★★★★
(24.01.06 16:49:28 MSK)

Ссылка

Во втором правиле прописано прибивать syn пакеты с 22 порта удалённой машины на 1024... порты твоей, а коннект по ssh (посылка syn пакета) идёт с портов 1024... удалённой машины на 22 порт твоей. Вот и не работает.

Но лучше закрой всё, а разрешай явно.

anonymous
(24.01.06 16:52:28 MSK)

Ответ на: комментарий от anonymous 24.01.06 16:52:28 MSK

и вообще лучше второе правило убрать, а использовать известную конструкцию, разрешающую ESTABLISHED,RELATED на вход.

sasha999 ★★★★
(24.01.06 17:37:26 MSK)

Ответ на: комментарий от sasha999 24.01.06 17:37:26 MSK

а что это за конструкция, разрешающая ESTABLISHED и RELATED ?

Mishail-wrk
(25.01.06 02:11:27 MSK)

Ответ на: комментарий от anonymous 24.01.06 16:52:28 MSK

> Во втором правиле прописано прибивать syn пакеты с 22 порта удалённой машины на 1024... порты твоей, а коннект по ssh (посылка syn пакета) идёт с портов 1024... удалённой машины на 22 порт твоей. Вот и не работает.

Мне казалось это должно работать так: пакеты на отправку (ochain) - с моих портов 1024-... на чужие порты 22. пакеты на приём (ichain) - с чужих 22 на мои 1024-... кроме установления соединения, т.к. соединение я сам со своей машины устанавливать должен... Итого: ssh _С_ моей машины работает куда угодно

Дефолтные действия на INPUT/OUTPUT стоят DROP. Т.е. всё, что не вписалось в данные правила дропается... т.е. по идее попытка коннекта на мой 22й порт должна провалиться. Итого: ssh _НА_ мою машину не работает.

Mishail-wrk
(25.01.06 02:21:19 MSK)

Ссылка

Ответ на: комментарий от Mishail-wrk 25.01.06 02:11:27 MSK

про established,related можешь почитать в iptables-tutorial.

sasha999 ★★★★
(25.01.06 08:19:16 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблемы с НАТ

Admin

cp1251 &phpmyadmin 2.6.2

→

Похожие темы