The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Установка и настройка Iptables по SSH"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Установка и настройка Iptables по SSH"  
Сообщение от belodemon email(ok) on 25-Фев-09, 14:53 
Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную сеть небольшого офиса, админ уволился, так как я их знакомый попросили меня просто за ним последить, мол чтоб работало)) а мы тебе по почте на сигареты пересылать будем...)) На серве поднят squid, apache - для lightsquida , samba ну и по мелочи... Всё б оно ничего, пока они не задумали юзать почту которую им хостинг предоставил... вот с етого момента ломаю себе голову как мне удаленно iptables прикрутить, стартануть его и нет занатить и при етом всём чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 25-Фев-09, 15:10 
>Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную
>сеть небольшого офиса, админ уволился, так как я их знакомый попросили
>меня просто за ним последить, мол чтоб работало)) а мы тебе
>по почте на сигареты пересылать будем...)) На серве поднят squid, apache
>- для lightsquida , samba ну и по мелочи... Всё б
>оно ничего, пока они не задумали юзать почту которую им хостинг
>предоставил... вот с етого момента ломаю себе голову как мне удаленно
>iptables прикрутить, стартануть его и нет занатить и при етом всём
>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!

не обижайся - man и google на эту тему. серьезно. просто не возможно тебе помочь на данном этапе (время не будет стоить затрат). разбирайся хоть чуть-чуть для начала. если у тебя есть хоть какое-то понимание в том "как этот интернет работает", то у тебя все получится.

а вот тебе старая добротная ссылка на доку по iptables:
https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Установка и настройка Iptables по SSH"  
Сообщение от belodemon email(ok) on 26-Фев-09, 10:42 
>[оверквотинг удален]
>>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!
>
>не обижайся - man и google на эту тему. серьезно. просто не
>возможно тебе помочь на данном этапе (время не будет стоить затрат).
>разбирайся хоть чуть-чуть для начала. если у тебя есть хоть какое-то
>понимание в том "как этот интернет работает", то у тебя все
>получится.
>
>а вот тебе старая добротная ссылка на доку по iptables:
>https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Установка и настройка Iptables по SSH"  
Сообщение от McLeod095 (??) on 25-Фев-09, 15:31 
>Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную
>сеть небольшого офиса, админ уволился, так как я их знакомый попросили
>меня просто за ним последить, мол чтоб работало)) а мы тебе
>по почте на сигареты пересылать будем...)) На серве поднят squid, apache
>- для lightsquida , samba ну и по мелочи... Всё б
>оно ничего, пока они не задумали юзать почту которую им хостинг
>предоставил... вот с етого момента ломаю себе голову как мне удаленно
>iptables прикрутить, стартануть его и нет занатить и при етом всём
>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!

Читать читать и еще раз читать.
Ну а на первое что посоветую, при просветлении и прихода понимания паервым делом прописать в правилах вот такое правило.

iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
надеюсь будет понятно для чего.

Ох, не раз я наступал на эти грабли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 25-Фев-09, 15:53 
>[оверквотинг удален]
>>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!
>
>Читать читать и еще раз читать.
>Ну а на первое что посоветую, при просветлении и прихода понимания паервым
>делом прописать в правилах вот такое правило.
>
>iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
>надеюсь будет понятно для чего.
>
>Ох, не раз я наступал на эти грабли.

не "первым делом", а "первым правилом" ))) первым по номеру в цепочке INPUT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Установка и настройка Iptables по SSH"  
Сообщение от Roman email(??) on 25-Фев-09, 17:10 
>[оверквотинг удален]
>>Ну а на первое что посоветую, при просветлении и прихода понимания паервым
>>делом прописать в правилах вот такое правило.
>>
>>iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
>>надеюсь будет понятно для чего.
>>
>>Ох, не раз я наступал на эти грабли.
>
>не "первым делом", а "первым правилом" ))) первым по номеру в цепочке
>INPUT

для таких целей (экспериментов) я, первым делом,  в самом конце скрипта, формирующего парвила iptables,  делаю:

$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT

Это 100% разрешит весь траффик между мной и удалённым сервером и ssh будет доступен.

iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT  
Этот вариант открывает ssh в мир, что делает его уязвимым для атак брутфорсом.

Уверен что вы даже не искали инфу здесь же. Так вот тут:
https://www.opennet.ru/docs/RUS/iptables/
всё очень подробно описано и есть примеры скиптов. Записал туда свои значения переменных и пользуйся на здоровье.

Касательно NAT там тоже всё написано.

p.s. Читать, читать и ещё раз читать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Установка и настройка Iptables по SSH"  
Сообщение от angra (ok) on 26-Фев-09, 03:54 
Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что в них допущена ошибка и удаленное соединение будет прервано.
Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с новыми. Чаще всего это делается на основе записи(для iptables при помощи iptables-save) старых правил в файл и автоматическом восстановления из файла спустя время. Задержка осуществляется через использование cron/at или простого sleep.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Установка и настройка Iptables по SSH"  
Сообщение от belodemon email(ok) on 26-Фев-09, 10:33 
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.

Хм... Очень толковый ответ! Погуглил почитал, начинает прояснятся... Спасибо тебе!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Установка и настройка Iptables по SSH"  
Сообщение от Roman email(??) on 27-Фев-09, 11:43 
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.

объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта настройки файрволла БУДЕТ

$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT
?

И если твоя "аксиома" является аксиомой, то что запрещает её применить к настройкам крона? Да и вообще, ко всем конфигам? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Установка и настройка Iptables по SSH"  
Сообщение от angra (ok) on 28-Фев-09, 01:44 
Например попадание под правило с DNAT.
Всегда умиляюсь пионерам, упорно не желающим использовать опыт старших товарищей и жаждущих пройтись по всем граблям самостоятельно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 28-Фев-09, 01:59 
>[оверквотинг удален]
>>в них допущена ошибка и удаленное соединение будет прервано.
>>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>>время. Задержка осуществляется через использование cron/at или простого sleep.
>
>объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта
>настройки файрволла БУДЕТ
>

элеметрарно. и даже удивтельно если этого не произойдет. потому что "нормальный" скрипт перезапуска должен поставить перед очисткой правил цепочек политики всех цепочек в DROP.
думаю не надо пояснений для чего - тут и так все прозрачно.
а вот тут как раз и твой вопрос - как не наколоться, когда самого отшьет. и где гарантия что сможешь сам подключиться.
вот тебе АКСИОМА - если ты root, то сам за все отвечаешь. все остальные аксиомы - игрушки и словоблудие.

>$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
>$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
>$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
>$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT
>?
>
>И если твоя "аксиома" является аксиомой, то что запрещает её применить к
>настройкам крона? Да и вообще, ко всем конфигам? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 28-Фев-09, 02:33 
>[оверквотинг удален]
>>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>>время. Задержка осуществляется через использование cron/at или простого sleep.
>
>объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта
>настройки файрволла БУДЕТ
>
>$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
>$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
>$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
>$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT

если коннектикшся только к серверу. то FORWARD = дыра. в эту цепочку идут пакеты которые транзитом следуют через сервер, а не на него. OUTPUT таблицу вообще пока не тррогай. потом понимание придет. щас ее пустую и ACCEPT POLICY поставь.

я бы так сделал для начала:

-I INPUT 1 -s <мой IP> -p tcp --dport 22 --syn -m state NEW -j ACCEPT
-I INPUT 2 -m state --state ESTABLISHED -j ACCEPT
-I INPUT 3 -m state --state RELATED -j ACCEPT

хотя нагнал - последнее правило не нужно для твоего подключения. но просто посмотри и попробуй понять что все это делает.

а потом почитай и пойми:
- для чего какая стандартная цепочка предназначена
- кроме цепочек есть таблицы, и они тоже предназначены для разных задач.
- изучай таблицы filter и nat для начала - на остальные просто внимание не обращай. они тебе скорее всего в ближайшем будущем не понадобятся. когда в голове уложится все предыдущее - за них возьмешься.

>?
>
>И если твоя "аксиома" является аксиомой, то что запрещает её применить к
>настройкам крона? Да и вообще, ко всем конфигам? :)

не переживай. все со временет будет. читай по мере задач ту ссылку что я дал и не напрягайся. советую про -j LOG почитать. очень способствует пониманию.

PS дистрибутив линукса какой там у тебя? глупо скрипты писать для iptables. там все уже как правило в системе есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 28-Фев-09, 01:46 
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.

ну когда начал читать, хотел сказать про cron&at, а теперь хочется сказать - не грузи человека :::))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 28-Фев-09, 01:55 
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.

абажаю эту тему. тебе дырку сделали , ты ее чинишь , а твои скрипты ее опять на место ставят. не будь хитрее своей жопы. если ты ее УЖЕ подставил, то как не метайся - ничего не спасет. вот это аксиома. кстати с твоей аксиомой я тоже согласен. выводы на мой взгляд неправильные

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 28-Фев-09, 02:46 
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.

один только вопрос: чем предыдущие советы от отличаются от последующих (разве они не попадают под аксиому? :))? по моему только автором. тогда цена выводов из этой аксиомы?

>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Установка и настройка Iptables по SSH"  
Сообщение от angra (ok) on 28-Фев-09, 03:26 
Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" и "всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на доступной аналогии.
При перебегании дороги на красный свет в час пик всегда есть шанс, что тебя собьет машина. Для того, чтобы убрать влияние данного фактора я советую переходить дорогу на зеленый свет. Разумеется все еще есть шанс быть сбитым, но он значительно ниже. Другие же советуют как зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на красный.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Установка и настройка Iptables по SSH"  
Сообщение от LS (ok) on 28-Фев-09, 04:17 
>Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" и

он всегда есть - это аксиома (я твоими терминами оперирую)

>"всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на

случая не вижу. никакого. в упор - это не аксиома , но факт.

>доступной аналогии.
>При перебегании дороги на красный свет в час пик всегда есть шанс,
>что тебя собьет машина. Для того, чтобы убрать влияние данного фактора
>я советую переходить дорогу на зеленый свет. Разумеется все еще есть
>шанс быть сбитым, но он значительно ниже. Другие же советуют как
>зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на
>красный.

что такое дорога? о каких светах и пиках ты говоришь? что значит машина?

я про машину знаю. ты тоже. не надо тому кто не знает про все это говорить, что его по любому задавит - это на мой взгляд не правильно и глупо.

я кстати еще раз повторю - я только с выводами не согласен. а с аксиомой хрен поспоришь - там доказательств не надо )

PS у меня такое ощущение. что я тебя чем-то обидел. если это так. то искренне пошу прощения - не хотел и не намеревался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Установка и настройка Iptables по SSH"  
Сообщение от cyclope (ok) on 28-Фев-09, 08:51 
>чтоб меня не дропнуло с 22 порта???

можете поставить на систкмку Firehol  (в пакетах или если не повезло firehol.sf.net)

в старой версии безопасный рестарт правил выглядил так - firehol try restart
сейчас - вот так firehol try

если рестарт успешный, в диалоге ввели "commit" - и ура
если же дропнуло 22 порт, то через 30 секунд оно само вернёт правила на места - и вернёт вам 22 порт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру