Правила IPTABLES ssh

0

1

Здравствуйте

мне необходимо из внутреней сети открыть доступ к серверу по ssh, а извне закрыть. я создаю следующее правила.

LAN_ADAPTER=eth1

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP

$IPT -A OUTPUT -i $LAN_ADAPTER -p tcp --dport 22 -j ACCEPT

Это правильно с точки зрения логики? Сам просто только только изучаю.

Спасибо за ваши ответы.

←	file2ban fedora

→

Это правильно с точки зрения логики?

Нет. Это правило может сработать только на клиенте, а устанавливать правила доступа к серверу на клиентской машине не логично.

~~sdio~~ ★★★★★
(08.11.14 21:42:01 MSK)

Ещё кнокинг настроить - хороший тон.

~~ktulhu666~~ ☆☆☆
(11.11.14 15:47:27 MSK)

Ответ на: комментарий от sdio 08.11.14 21:42:01 MSK

Нет, на клиенте это тоже работать не будет, так как пакеты смогут ходить только в одну сторону.

Deleted
(11.11.14 15:48:48 MSK)

Ответ на: комментарий от Deleted 11.11.14 15:48:48 MSK

оно может работать, если добавить RELATED, в других местах это правило вообще не к месту

~~sdio~~ ★★★★★
(11.11.14 16:01:35 MSK)
Последнее исправление: sdio 11.11.14 16:04:07 MSK (всего исправлений: 1)

Не благодари

iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

А если ты боишься брутфорса, то все элементарно просто - вешается ssh на 6xxxx порт.

leg0las ★★★★★
(11.11.14 16:34:44 MSK)
Последнее исправление: leg0las 11.11.14 16:37:30 MSK (всего исправлений: 1)

Ответ на: Не благодари от leg0las 11.11.14 16:34:44 MSK

у меня ssh keys
спасибо.

user2014
(11.11.14 20:33:54 MSK) автор топика

Ответ на: комментарий от user2014 11.11.14 20:33:54 MSK

Ну, тоже вариант.

У себя ключики использую не везде, везде порты нестандартные, ssh_config тоже подправлен.

leg0las ★★★★★
(11.11.14 23:10:39 MSK)
Последнее исправление: leg0las 11.11.14 23:11:45 MSK (всего исправлений: 1)

Ответ на: комментарий от sdio 11.11.14 16:01:35 MSK

Дак в OUTPUT же in-интерфейс (-i) не определён, как это правило в принципе может работать?

mky ★★★★★
(12.11.14 04:28:43 MSK)

Ответ на: комментарий от mky 12.11.14 04:28:43 MSK

верно, не обратил внимания, после -A OUTPUT остальное глянул мельком.

~~sdio~~ ★★★★★
(12.11.14 08:08:55 MSK)

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	file2ban fedora

→