Настройка интернета ipoe от билайн на ubuntu server

Что-то типа этого:
iptables -A INPUT -i eth1 -p tcp -s !1.2.3.4 --dport 22 -j DROP
Запрети порт ssh, кроме своего постоянного ip адреса

Возможен вариант, что твой совет заблокирует ему доступ из его домашней сети.

Мне больше нравится это:

И еще вопрос - как обезопасить шлюз от несанкционированных подключений из локальной сети провайдера(пугает отсутствие авторизации)?

Иными словами если бы он авторизовался при подключении к прову то тут вопросов нет ;)

Возможен вариант, что твой совет заблокирует ему доступ из его домашней сети.

Скорее всего нет.

Если мне память не изменяет то UFW это морда к nftables а не к iptables ;)

И еще вопрос - как обезопасить шлюз от несанкционированных подключений из локальной сети провайдера

Я бы на твоем месте боялся доп коробочки в щитке, которая твой мак срисует.

Что за несанкционированные подключения? Почему они тебя раньше не беспокоили? Через pppoe к тебе подключиться можно точно так же, если есть куда.

пугает отсутствие авторизации

Какой ещё авторизации? Кто кого должен авторизовывать и для чего?

У билайна подтыкаешь lan.
Там открывается вход в кабинет. Заходишь, оно запоминает мак твоего роутера и привязывается к нему.
Если в другой lan воткнуть, надо заново в кабинет входить.

Уж простите, но судя по стилю вопроса, попробую ответить в стиле «для домохозяек».
Кратко так. pppoe это «надстройка» над «обычным воткнул провод и робит».

для подключения по ipoe мне надо будет закомментировать это и прописать

«закомментировать» точно, а вот на тему прописать возможно тоже да, но только возможно. Пчелы они роятся по все матушке России и скупают все, что под лапки подвернется, за сетевые настройки и варианты подключений надо у них узнавать, а уж потом на лоре вопрошать.

как обезопасить шлюз от несанкционированных подключений

Ставь пароль на авторизацию в панели управления роутера.

Так он же пишет что у него комп шлюз, а не роутер.

Сам комп в роли шлюза?

Ну да, я тоже так делаю.

Весело

как обезопасить шлюз от несанкционированных подключений

Запрети всë входящее, разреши всë исходящее:

ufw enable
ufw default deny incoming
ufw default allow outgoing

Как по мне, только так

А как же ssh или самба. Надо закрывать на 1 ip или сетевой интерфейс.
Как потом до него достучаться?

Ну, я думаю, автор догадается разрешить ssh в ufw.

Раз уж тема зашла, то скажу, что по ssh обеспечить защиту можно только надёжным паролем и (или) ключом. Также хорошо было бы поставить PermitRootLogin yes в sshd_config, дабы всякие черти не зашли под root пользователем. Ещё не вешать ssh на стандартный порт 22.

ssh на другом порту

Но автор уже перевешал его на другой порт.

Если уж совсем досконально, то создай отдельного пользователя без доступа к sudo и от него уже запускай ssh сервер и запрети логиниться по ssh под другими пользователями.

Вот мануал по конфигу ssh сервера. Там можно всякого полезного найти.

Так в дистрах для белых людей делают passwd -dl root
А в sudoers юзерам дают wheel.

passwd -dl root

Ну в убунте по умолчанию с рутом очень весело, это я знаю.

PermitRootLogin yes в sshd_config

Уж точно не помешает.

Сам комп в роли шлюза?

А что именно вас в этом смущает? Или вы из тех у кто слово роутер однозначно ассоциируется с маленькой пластиковой коробочкой?

Также хорошо было бы поставить PermitRootLogin yes в sshd_config, дабы всякие черти не зашли под root пользователем.

Чей-то это попахивает диверсией! А с учетом даты регистрации очень даже возможно. Кастую модераторов.

Чей-то это попахивает диверсией!

Нет, тебе кажется

Позняк метаться, модераторы рассудят.

Сам комп в роли шлюза

Очень удобно - помимо сетевого хранилища там еще ускоряются кэширующие серверы

Через pppoe к тебе подключиться можно точно так же, если есть куда.

Тогда я спокоен

Там открывается вход в кабинет. Заходишь, оно запоминает мак твоего роутера и привязывается к нему.

То есть проблем возникнуть из-за того, что подключается пк, а не роутер, не должно?

Также хорошо было бы поставить PermitRootLogin yes в sshd_config, дабы всякие черти не зашли под root пользователем.

Эта настройка делает зеркально противоположное – разрешает логин под root. Чтобы запретить, нужно PermitRootLogin no

Ошибся.

То есть проблем возникнуть из-за того, что подключается пк, а не роутер, не должно?

Чем по вашему пека от сохо коробочки с точки зрения прова отличается?

Ошибся.

Офигительная ошибочка, хотел выйти в дверь, а вышел в окно.

И еще вопрос - как обезопасить шлюз от несанкционированных подключений из локальной сети провайдера

А почему никто не посоветовал fail2ban?

А почему никто не посоветовал fail2ban?

Может потому, что он в задачу ТС никак не вписывается?

Проблема возникла. Не открывается страница входа в сеть. В network/interfaces прописал

auto ens32
iface ens32 inet dhcp

вывод ifconfig

ens32: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 100.85.244.209  netmask 255.255.240.0  broadcast 100.85.255.255
        inet6 fe80::2e0:6fff:fe0f:106c  prefixlen 64  scopeid 0x20<link>
        ether 00:e0:6f:0f:10:6c  txqueuelen 1000  (Ethernet)
        RX packets 32  bytes 3086 (3.0 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 36359  bytes 2705836 (2.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

вывод route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         100.85.240.1    0.0.0.0         UG    0      0        0 ens32
100.85.240.0    0.0.0.0         255.255.240.0   U     0      0        0 ens32
172.20.0.0      0.0.0.0         255.255.255.0   U     0      0        0 tun10
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 ens33
198.18.0.0      0.0.0.0         255.255.255.0   U     0      0        0 tun11

пинги по url не идут, по ip идут. ufw отключал - ничего не менялось

Подскажите куда смотреть?

пинги по url не идут

По url или по hostname? Если второе, то в сторону резолвера.

По www.ya.ru, это url?

http://www.ya.ru/ это url.

Тоже не идут

Это hostname.

Похожая проблема при подключении билайна

Дак вы хоть опишите, что у вас с настройками DNS. Установлен какой-либо DNS-сервер, и что вы раньше настраивали для pppoe? В простейшем случае после получения данных от dhcp-сервера должен изменяться /etc/resolv.conf. Но, могут быть разные варианты...

P.S. Той теме, куда вы написали уже год, да и пользователь Izolda не заходит больше на форум, смысла писать туда не было.

Установлен dnsmasq, у него прописан днс яндекса для зоны .ру и гугл для остальных. Присутствует строка no-resolv Pppoe настраивал через pppoeconf - ввел что требовалось и все. В /etc/resolv.conf сейчас только одна строка nameserver 127.0.0.1

Закоментировал no-resolv в dnsmasq.conf - в resolv.conf добавилась строка search beeline, но страница входв в сеть по прежнему не открывается

в resolv.conf добавилась строка search beeline

А nameserver в этом файле так на 127.0.0.1 и указывает?

пинги по url не идут, по ip идут.

На какие ip-адреса идут пинги? На 8.8.8.8 идут? На 83.102.180.175 или 83.102.180.167 идут? Последние адреса — это вроде как login.beeline.ru, можете попробовать в адресную строку браузера эти адреса указать, может страница входа в сеть откроется.

А nameserver в этом файле так на 127.0.0.1 и указывает?

Да

На какие ip-адреса идут пинги? На 8.8.8.8 идут?

На 77.88.8.8 идет, это днс яндекса

Если полностью отключить dnsmasq то в resolv.conf появляется 2 айпишника, dig со шлюза работает, но вся остальная сеть днс ответы не получает хоть в роутере(который за шлюзом) стоит автоматическое получение днс.

dig со шлюза работает

Он к какому SERVER обращается?

вся остальная сеть днс ответы

Вся остальная сеть к какому DNS-серверу обращается?

На 77.88.8.8 идет, это днс яндекса

Ну, а после ping, DNS-сервер проверятся dig'ом. Ему в командной строке можно указать ip-адрес DNS-сервера, куда запрос отправлять. Если на dig нет ответа, значит кто-то пакеты фильтрует, возможно БиЛайн.

Он к какому SERVER обращается?

dig www.mail.ru - провайдерский как я понимаю.

Вся остальная сеть к какому DNS-серверу обращается?

Пробовал по всякому и с указанием адреса и без

После различных комбинаций в dnsmasq.conf network/interfaces и вкл/откл dnsmasq стал подозревать отсутствие nat на шлюзе после отключения pppoe. Подключил кабель провайдера в роутер(билайн) и стал экспериментировать с настройками - отключил все в дефолтном билайновском конфиге и пробовал подключать включая по опции - при всех отключенных подключение не шло, стоило только включить nat сразу отобразилась страница входа в сеть. Как можно проверить настроен ли на шлюзе nat?

Он к какому SERVER обращается?

dig http://www.mail.ru - провайдерский как я понимаю.

Вас спросили «к какому», а не то что вы «понимаете».

Вся остальная сеть к какому DNS-серверу обращается?

Пробовал по всякому и с указанием адреса и без

«Он долго бился головой об стену, в общем ушел от ответа» (с)

если dig без указания конкретного адреса то к какому серверу он будет обращаться?

они подключают по технологии ipoe(как я понял просто привязка серого ip по маку)

Не совсем. Аккаунта к маку

Ты тупо втыкаешь кабель, получаешь ip по dhcp

А потом (один раз) в браузере открываешь любой http (не https) сайт и тебя редиректит на страницу логина. Где ты один раз вбиваешь логин/пароль, после чего твой mac запомнили

К резолверу системы и адрес он вам в выхлопе напишет.

А потом (один раз) в браузере открываешь любой http (не https) сайт и тебя редиректит на страницу логина. Где ты один раз вбиваешь логин/пароль, после чего твой mac запомнили

Крайне сферично. Где-то может и так, а где-то и нет.

Ты путаешь ipoe и pppoe

Ниразу не путаю. Проходил оба варианта «Где-то может и так, а где-то и нет.»