SSH, локалка, фильтр

0

0

В iptables есть правила типа -A INPUT -s 192.168.0.x/32 -i eth1 -j ACCEPT чтоб разрешать некоторым конкретным компам соединяться с сервером через SSH. Но локалка там на винде и какой-нибудь троян, например, может посылать пакеты от чужого IP или просто хитрый юзер сменить IP своего компа на разрешенный. Как этого избежать без лишней возни? Подозреваю, что можно как вариант сделать
статическую ARP-таблицу, но это не очень удобно.

Ссылка

←	Через мой сервер спамят. Sendmail.

TrueCrypt дает дырку в безопасности

→

openvpn же.

Redfoxnet ★
(01.08.09 15:04:50 MSD)

Ссылка

>например, может посылать пакеты от чужого IP или просто хитрый юзер >сменить IP своего компа на разрешенный

Если все сидит в одном сегменте то поможет фильтрация по мак адресу:

iptables -A INPUT -p tcp -i eth1 --destination-port 22 -m mac --mac-source 00:18:8B:C4:9C:8E -j ACCEPT

serjio28
(01.08.09 15:46:40 MSD)

Ответ на: комментарий от serjio28 01.08.09 15:46:40 MSD

А тут же можно указать -s ипадрес чтоб уж наверняка?
MAC-адрес, я так понимаю, узнавать nmap-ом (или другой утилитой название которой узнать по apropos arp mac)...

Xenius ★★★★★
(01.08.09 16:32:44 MSD) автор топика

Ответ на: комментарий от serjio28 01.08.09 15:46:40 MSD

мак на нужный хитрому юзеру очень легко сменить, так что не вариант

your_bunny
(01.08.09 18:13:50 MSD)

Ссылка

Ответ на: комментарий от Xenius 01.08.09 16:32:44 MSD

>А тут же можно указать -s ипадрес чтоб уж наверняка?

Можно, но я не совсем понял смысл. Ведь у ssh есть пароль. И можно разрешить вход в систему только определенным пользователям.

mky ★★★★★
(01.08.09 23:14:25 MSD)

Ссылка

Таки авторизация по ключам решает. И таки нормальная настройка фаервола и свитчей, чтоб "вирусы" не могли сменить ip. arpwatch в помощь.

vexor
(02.08.09 02:55:09 MSD)

Ответ на: комментарий от vexor 02.08.09 02:55:09 MSD

а не лучше виндовых юзеров сделать просыми юзерами, а не локальными админами, тогда ип сменить не получится, да и вирусам жить станет гораздо хуже.

CFA ★
(02.08.09 07:13:36 MSD)

Ответ на: комментарий от CFA 02.08.09 07:13:36 MSD

А еще лучше винду заменить на GNU/Linux где можно. В общем-то этим и занимаемся...

Xenius ★★★★★
(03.08.09 11:07:29 MSD) автор топика

Ссылка

Разрешить ssh авторизацию только по ключам и никакой возни с iptables, очевидно же

Goganchic ★★
(18.08.09 22:57:01 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Через мой сервер спамят. Sendmail.

Security

TrueCrypt дает дырку в безопасности

→

Похожие темы