LINUX.ORG.RU
решено ФорумAdmin

iptables проблемы

 


0

1

Не пускает по ssh, подскажите что не так?

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s (мой ip)/32 --dport 22 -j ACCEPT 
iptables -A OUTPUT -o eth0 -p TCP -d (мой ip)/32 --sport 22 -j ACCEPT

1. Убери последние две строки, они не в кассу.

2. Перед двумя строками с --state ESTABLISHED,RELATED добавь строку:

iptables -A INPUT -i eth0 -p TCP -d твой.ип/32 --dport 22 -m state --state NEW -j ACCEPT

alex_the_v ★★★ ()
Последнее исправление: alex_the_v (всего исправлений: 2)
Ответ на: комментарий от alex_the_v

так задача ограничить доступ с определенного ip, а не разрешить доступ к определенному серверу (-d же адрес назначения)

drunkmad ()
Ответ на: комментарий от drunkmad

Аа. Тебе надо чтобы сервак таки пускал, но только с одного айпишника? Тогда все как я сказал, только строку добавляешь такую:

iptables -A INPUT -i eth0 -p TCP -s твой.ип/32 -d сервера.ип/32 --dport 22 -m state --state NEW -j ACCEPT

твой.ип - это айпишник машины, которой надо разрешить доступ. Сетку /32 указывать необязательно, это я так, для красоты.

alex_the_v ★★★ ()
Ответ на: комментарий от alex_the_v

У меня не локальная сеть, а коннект к одному единственному серверу. Уместно ли тогда использование в данном случае -d (ип сервера)/32?

drunkmad ()
Ответ на: комментарий от drunkmad

Оставь -m state --state NEW. У тебя файрвол настроен как стейтфул и тебе надо пропускать только новые соединения, т.к. уже установленные пропускаются двумя последними правилами. Дестинейшен, как я уже говорил, не обязательно указывать, но я бы тоже его оставил во избежании долгого чесания репы в будущем.

alex_the_v ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.