LINUX.ORG.RU

SSH, локалка, фильтр


0

0

В iptables есть правила типа -A INPUT -s 192.168.0.x/32 -i eth1 -j ACCEPT чтоб разрешать некоторым конкретным компам соединяться с сервером через SSH. Но локалка там на винде и какой-нибудь троян, например, может посылать пакеты от чужого IP или просто хитрый юзер сменить IP своего компа на разрешенный. Как этого избежать без лишней возни? Подозреваю, что можно как вариант сделать
статическую ARP-таблицу, но это не очень удобно.

★★★★★

>например, может посылать пакеты от чужого IP или просто хитрый юзер >сменить IP своего компа на разрешенный

Если все сидит в одном сегменте то поможет фильтрация по мак адресу:

iptables -A INPUT -p tcp -i eth1 --destination-port 22 -m mac --mac-source 00:18:8B:C4:9C:8E -j ACCEPT

serjio28
()
Ответ на: комментарий от serjio28

А тут же можно указать -s ипадрес чтоб уж наверняка?
MAC-адрес, я так понимаю, узнавать nmap-ом (или другой утилитой название которой узнать по apropos arp mac)...

Xenius ★★★★★
() автор топика
Ответ на: комментарий от serjio28

мак на нужный хитрому юзеру очень легко сменить, так что не вариант

your_bunny
()
Ответ на: комментарий от Xenius

>А тут же можно указать -s ипадрес чтоб уж наверняка?

Можно, но я не совсем понял смысл. Ведь у ssh есть пароль. И можно разрешить вход в систему только определенным пользователям.

mky ★★★★★
()

Таки авторизация по ключам решает. И таки нормальная настройка фаервола и свитчей, чтоб "вирусы" не могли сменить ip. arpwatch в помощь.

vexor
()
Ответ на: комментарий от vexor

а не лучше виндовых юзеров сделать просыми юзерами, а не локальными админами, тогда ип сменить не получится, да и вирусам жить станет гораздо хуже.

CFA
()
Ответ на: комментарий от CFA

А еще лучше винду заменить на GNU/Linux где можно. В общем-то этим и занимаемся...

Xenius ★★★★★
() автор топика

Разрешить ssh авторизацию только по ключам и никакой возни с iptables, очевидно же

Goganchic ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.