The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"- iptables - доступ по ssh -"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"- iptables - доступ по ssh -" 
Сообщение от ALPOP emailИскать по авторуВ закладки(??) on 06-Окт-05, 12:39  (MSK)
привет всем! есть задачка, связанная с настройкой iptables:

на удаленной машине поднят ssh;
в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным доступ закрыт;

нужно сделать правило, чтобы можно было получить доступ по ssh с динамического адреса, например по dial-up

p.s. просто не хочется открывать доступ по ssh для всех с любого адреса
поэтому, если кто что может, то посоветуйте, пожалуйста!

заранее всем признателен!

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "- iptables - доступ по ssh -" 
Сообщение от ALPOP emailИскать по авторуВ закладки(??) on 06-Окт-05, 13:23  (MSK)
>привет всем! есть задачка, связанная с настройкой iptables:
>
>на удаленной машине поднят ssh;
>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>доступ закрыт;
>
>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>адреса, например по dial-up
>
>p.s. просто не хочется открывать доступ по ssh для всех с любого
>адреса
>поэтому, если кто что может, то посоветуйте, пожалуйста!
>
>заранее всем признателен!


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "- iptables - доступ по ssh -" 
Сообщение от longer emailИскать по авторуВ закладки(ok) on 06-Окт-05, 14:18  (MSK)
А откуда iptables узнает, что этот IP, полученный динамически, находится в списке разрешенных? Его же там нет.
Как вариант - прописать подсеть провайдера в ACCEPT.
Если вы в одной подсети с удаленной машиной, то можно построить правило на MAC-адресе вашей машины.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "- iptables - доступ по ssh -" 
Сообщение от ALPOP emailИскать по авторуВ закладки(??) on 06-Окт-05, 18:29  (MSK)
>А откуда iptables узнает, что этот IP, полученный динамически, находится в списке
>разрешенных? Его же там нет.
>Как вариант - прописать подсеть провайдера в ACCEPT.
>Если вы в одной подсети с удаленной машиной, то можно построить правило
>на MAC-адресе вашей машины.


нет, машины находятся в разных подсетях;

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "- iptables - доступ по ssh -" 
Сообщение от ALPOP emailИскать по авторуВ закладки(??) on 07-Окт-05, 09:50  (MSK)
>А откуда iptables узнает, что этот IP, полученный динамически, находится в списке
>разрешенных? Его же там нет.
>Как вариант - прописать подсеть провайдера в ACCEPT.
>Если вы в одной подсети с удаленной машиной, то можно построить правило
>на MAC-адресе вашей машины.


---------------------------------------------
то есть ты имеешь ввиду сделать правило для всего диапазона адресов сети провайдера, правильно я тебя понял?

а что если человек выходит через прокси провайдера, тогда, я так понимаю, достаточно прописать в разрешенных адрес прокси-сервера, как ты считаешь?


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "- iptables - доступ по ssh -" 
Сообщение от vyshegor Искать по авторуВ закладки on 06-Окт-05, 15:25  (MSK)
>привет всем! есть задачка, связанная с настройкой iptables:
>
>на удаленной машине поднят ssh;
>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>доступ закрыт;
>
>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>адреса, например по dial-up
>
>p.s. просто не хочется открывать доступ по ssh для всех с любого
>адреса
>поэтому, если кто что может, то посоветуйте, пожалуйста!
>
>заранее всем признателен!

я вот как сделал:
суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111. Нет,нет демон (sshd) на удаленной машине поднят только один и слушает он родной порт, и пускаем мы на этот порт только нужные адреса.
Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh -p 1111 удаленная машина.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "- iptables - доступ по ssh -" 
Сообщение от ALPOP emailИскать по авторуВ закладки(??) on 07-Окт-05, 09:46  (MSK)
>>привет всем! есть задачка, связанная с настройкой iptables:
>>
>>на удаленной машине поднят ssh;
>>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>>доступ закрыт;
>>
>>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>>адреса, например по dial-up
>>
>>p.s. просто не хочется открывать доступ по ssh для всех с любого
>>адреса
>>поэтому, если кто что может, то посоветуйте, пожалуйста!
>>
>>заранее всем признателен!
>
>я вот как сделал:
>суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111.
>Нет,нет демон (sshd) на удаленной машине поднят только один и слушает
>он родной порт, и пускаем мы на этот порт только нужные
>адреса.
>Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на
>условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
>Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с
>соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh
>-p 1111 удаленная машина.


-------------------------------------
по данному предложению мне не понятно, как можно определить "интересующие пакеты" от не нужных "чужих", по какому признаку,
а поэтому не ясно и как промаркеровать "интересующие пакеты"

----------------------------------------

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "- iptables - доступ по ssh -" 
Сообщение от vyshegor Искать по авторуВ закладки on 07-Окт-05, 11:17  (MSK)
>>я вот как сделал:
>>суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111.
>>Нет,нет демон (sshd) на удаленной машине поднят только один и слушает
>>он родной порт, и пускаем мы на этот порт только нужные
>>адреса.
>>Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на
>>условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
>>Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с
>>соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh
>>-p 1111 удаленная машина.
>
>
>-------------------------------------
>по данному предложению мне не понятно, как можно определить "интересующие пакеты" от
>не нужных "чужих", по какому признаку,
>а поэтому не ясно и как промаркеровать "интересующие пакеты"
>
>----------------------------------------

...я же сказал "от любого источника" - пускаем всех, много-ли найдется народу, знающего о нашем порте 1111 (сканер его не покажет).

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "- iptables - доступ по ssh -" 
Сообщение от den23513 emailИскать по авторуВ закладки(ok) on 02-Ноя-05, 23:10  (MSK)
>я вот как сделал:
>суть в том, чтобы ходить на нестандартный (22/tcp)порт, а, допустим, на 1111.
>Нет,нет демон (sshd) на удаленной машине поднят только один и слушает
>он родной порт, и пускаем мы на этот порт только нужные
>адреса.
>Но на удаленной машине DNAT-им (или REDIRECT) трафик от любого источника на
>условленный 1111 порт, перенапрявляя его (трафик) на, собственно, 22.
>Затем маркируем интересующие нас пакеты и пропускаем на вход только пакеты с
>соответствующим маркером. Осталось только на клиенте, живущем под dial-up, сказать ssh
>-p 1111 удаленная машина.

А можно посмотреть на рабочий скриптик по вышеуказонной схемке плз?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "- iptables - доступ по ssh -" 
Сообщение от Mike Искать по авторуВ закладки(??) on 06-Окт-05, 16:58  (MSK)
Mike a script. Once client connected it will add rule to IPTABLES. Make sure you have checked large ip routing tables option in kernel checked.
Once client disconnected - second script to remove it from iptables.

Or - add whole network and you're good to go!

>привет всем! есть задачка, связанная с настройкой iptables:
>
>на удаленной машине поднят ssh;
>в iptables доступ по ssh разрешен только с определенных статических ip-адресов, остальным
>доступ закрыт;
>
>нужно сделать правило, чтобы можно было получить доступ по ssh с динамического
>адреса, например по dial-up
>
>p.s. просто не хочется открывать доступ по ssh для всех с любого
>адреса
>поэтому, если кто что может, то посоветуйте, пожалуйста!
>
>заранее всем признателен!


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "- iptables - доступ по ssh -" 
Сообщение от Archont Искать по авторуВ закладки on 07-Окт-05, 08:07  (MSK)
Ставите модем и поднимаете dial-in сервер. Адрес звонящего прописываете статически. Например у меня локалка 192.168.100.0/255, адрес хоста 192.168.100.254, удаленный адрес ppp0 прописываем 192.168.100.100. Разрешаете ему вход по ssh и доступ к iptables.
Всё, вы не зависите от провайдера, и можете попадать к себе с любого компьютера с модемом (там перед звонком просто конфигурируете параметры соединения, потом всё сносите и затираете).
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "- iptables - доступ по ssh -" 
Сообщение от ALPOP Искать по авторуВ закладки(ok) on 12-Окт-05, 18:56  (MSK)
>Ставите модем и поднимаете dial-in сервер. Адрес звонящего прописываете статически. Например у
>меня локалка 192.168.100.0/255, адрес хоста 192.168.100.254, удаленный адрес ppp0 прописываем 192.168.100.100.
>Разрешаете ему вход по ssh и доступ к iptables.
>Всё, вы не зависите от провайдера, и можете попадать к себе с
>любого компьютера с модемом (там перед звонком просто конфигурируете параметры соединения,
>потом всё сносите и затираете).


наша удаленная машина стоит на коллокейшене и с dial-in сейчас не получится, к сожелению


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "- iptables - доступ по ssh -" 
Сообщение от Muke Искать по авторуВ закладки on 12-Окт-05, 21:36  (MSK)
>наша удаленная машина стоит на коллокейшене и с dial-in сейчас не получится,
>к сожелению

ну а публичные сервисы на ней запущены? можно через них открывать ssh.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "- iptables - доступ по ssh -" 
Сообщение от ALPOP Искать по авторуВ закладки(ok) on 13-Окт-05, 16:32  (MSK)
>>наша удаленная машина стоит на коллокейшене и с dial-in сейчас не получится,
>>к сожелению
>
>ну а публичные сервисы на ней запущены? можно через них открывать ssh.
>

на этой машине есть web-сайт, поэтому из публичных сервисов запущен apache


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "- iptables - доступ по ssh -" 
Сообщение от John Искать по авторуВ закладки(??) on 12-Окт-05, 21:48  (MSK)
Прочтите про "port knocking". Это как раз Ваш случай.
http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-Attack-195586.html

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "- iptables - доступ по ssh -" 
Сообщение от ALPOP Искать по авторуВ закладки(ok) on 13-Окт-05, 16:35  (MSK)
>Прочтите про "port knocking". Это как раз Ваш случай.
>http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-Attack-195586.html


спасибо, посмотрю и прочитаю обязательно!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "- iptables - доступ по ssh -" 
Сообщение от Dmt Искать по авторуВ закладки on 14-Окт-05, 16:46  (MSK)
>>Прочтите про "port knocking". Это как раз Ваш случай.
>>http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-Attack-195586.html
>
>
>спасибо, посмотрю и прочитаю обязательно!
А что будет если кнокд умрет )

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру