The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"помогите открыть SSH при DROP политиках"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"помогите открыть SSH при DROP политиках"  +/
Сообщение от HAEMHIK (ok) on 14-Ноя-10, 11:01 
Помогите пожалуйста открыть доступ по SSH c внешки при изначально установленных DROP политиках, с ниже приведенным конфигом я не имею доступа к SSH =(

#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "помогите открыть SSH при DROP политиках"  +/
Сообщение от Pahanivo (ok) on 14-Ноя-10, 11:34 
неособо разюираюсь в айпитабласах но второй строке явная ощибка
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A OUTPUT -p udp --sport 22 -j ACCEPT
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "помогите открыть SSH при DROP политиках"  +/
Сообщение от Дядя Федор email on 14-Ноя-10, 11:48 
> неособо разюираюсь в айпитабласах но второй строке явная ощибка
>> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>> iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Еще как явная. Потому как к протоколу UDP ssh Отношения не имеет. Да и вообще - на кой черт в OUTPUT ставить дефолтную политику в DROP - хоть убей не понимаю. Разве что из склонности к мазохизму. :) Еще не мешало бы добавить в INPUT пакеты со статусом ESTABLISHED и RELATED


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "помогите открыть SSH при DROP политиках"  +/
Сообщение от Дядя Федор email on 14-Ноя-10, 11:49 
Да и ещё. Приведите уж тогда вывод iptables -nL INPUT, iptables -nL OUTPUT
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "помогите открыть SSH при DROP политиках"  +/
Сообщение от Гусище (ok) on 14-Ноя-10, 14:43 
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

Этого достаточно. Видимо у тебя в другом проблема. Поищи tcpdump'om.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "помогите открыть SSH при DROP политиках"  +/
Сообщение от HAEMHIK (ok) on 15-Ноя-10, 17:29 
Спасибо с SSH я разобрался, но появился еще один вопрос по поводу доступа к ftp и http

# C этими правилами я имею доступ с внешки на эти порты, но не могу поднять соединения по этим портам с сервера-localhost
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT

# C этими все наоборот т.е. внешка закрыта, а исходящие соединения с localhost'a работают
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

Я должен все вышеприведенные правила добавлять в файрвол, или так это не делатся ? что-то мне подсказывает что это огород )). Сильно не пинайте я только учусь ...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "помогите открыть SSH при DROP политиках"  +/
Сообщение от Гусище (ok) on 15-Ноя-10, 20:49 
Исходящие пакеты с локального приложения, поступают на другое локальное приложение, через внутренний логический интерфейс loopback. Хорошо бы обеспечить ему беспрепятственную работу:

Это полностью открывает loopback-интерфейс для общения приложений на локалхосте через "сеть", для всех протоколов и портов:
> iptables -A INTUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT

Это для того, чтобы к вам на веб-сервер пакеты проходили из вне:
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT

разрешаем так же ответы на http-запросы:
> iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

__________________________________________________________________________________
С FTP там какие-то заморочки с портами будут. Не помню... :-)
тут вот пишут:
http://slacksite.com/other/ftp.html

Нужно будет задействовать механизм отслеживания состояний соединений (conntrack), чтобы с FTP работать, вроде бы...

типа вот такого решения:

Пускаем входящие пакеты только на 20 и 21 порт для установки соединения:
>iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

пропускаем все остальные пакеты в рамках уже установленных соединений на любой порт:
>iptables -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

и выпускаем тоже:
>iptables -A OUTPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

(И кстати если вся эта конструкция будет работать, то правило iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT окажется не нужным вовсе, т.к. это тоже по логике пакеты в рамках уже установленных соединений, конечно если вы не собираетесь с вашего сервера на http чужие заходить, никому не раздаёте тырнеты и пр... ))

вообще я не разбираюсь, так что могу и нагнать. :-)))))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "помогите открыть SSH при DROP политиках"  +/
Сообщение от Andrey Mitrofanov on 16-Ноя-10, 11:37 
> Я должен все вышеприведенные правила добавлять в файрвол, или так это не
> делатся ? что-то мне подсказывает что это огород )). Сильно не
> пинайте я только учусь ...

Да, это огород, и да, именно так это и делается. То есть "одна задача" -- ку-у-уча правил iptables. iptables -- достаточно "низкоуровневое" средство, а-ля ассемблер~~~

Ну с %) "небольшими" отличиями... пример= https://www.opennet.ru/openforum/vsluhforumID10/4099.html#7

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру