[iptables] правила для ssh

0

0

Привет,

Почему для того чтобы разрешить входящие соединения ssh на сервер, просто правило разрешающее входящие на 22 порт не достаточно? Вот пример из руководства:
http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-fir...

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

Последнее правило к чему?

Ссылка

←	Загрузка только командной строки. Конфигурирование GRUB

ошибка urlopen error (-3, 'Temporary failure in name resolution')

→

для того чтобы разрешить и исходящие пакеты тоже)
а то получается что пакеты принимаются, но не отсылается на них ответ

к.о. )

Sylvia ★★★★★
(29.12.09 14:14:43 MSK)

Чтобы было достаточно только первого правила - выставь политику по умолчанию цепочки OUTPUT в ACCEPT.

sidor ★★
(29.12.09 14:16:16 MSK)

Ссылка

Ответ на: комментарий от Sylvia 29.12.09 14:14:43 MSK

согласен что сервер должен ответить :) но почему сервер отвечает с 22 порта? по теории разве не создается новый сокет на свободном порту и по нему отвечается клиенту?

babai ★
(29.12.09 14:19:47 MSK) автор топика

Ответ на: комментарий от babai 29.12.09 14:19:47 MSK

это не фтп ) httpd тоже работает исключительно по 1 порту

Sylvia ★★★★★
(29.12.09 14:20:43 MSK)

Ссылка

Ответ на: комментарий от babai 29.12.09 14:19:47 MSK

Подключаемся по ssh (мы: 192.168.0.3, сервер: 192.168.0.1) и смотрим netstat:

edigaryev@strangebox ~ $ netstat -antu | grep 2244
tcp        0      0 0.0.0.0:22            0.0.0.0:*               LISTEN     
tcp        0      0 192.168.0.1:22        192.168.0.3:46388       ESTABLISHED
tcp6       0      0 :::22                 :::*                    LISTEN

edigaryev ★★★★★
(29.12.09 14:25:58 MSK)

Ответ на: комментарий от edigaryev 29.12.09 14:25:58 MSK

да, я заметил эту особенность, но не понял почему функционирование разнится с тем как это делается в «теории» (fork, новый сокет).

babai ★
(29.12.09 14:30:14 MSK) автор топика

Ответ на: комментарий от babai 29.12.09 14:30:14 MSK

Сокет может быть и новый, но в TCP единым целым является соединение, то есть связка IP1:PORT1<-->IP2:PORT2. То есть, в твоем случае:
сокет1 192.168.0.1:25<-->192.168.0.3:46388
сокет2 LISTEN 192.168.0.1:25
сокет3 192.168.0.1:25<-->192.168.0.100:55555

gserg ★★
(29.12.09 15:41:44 MSK)

Ссылка

большинство руководств что по настройке фаервола что я видел были неадекватными. В реальности городить огород правил нужно очень редко. Лучше вникни во всё сам и создай только те правила что реально тебе нужны. Я в фаервол пихаю обычно только две вещи: счётчики трафика и защита от ддос(limit rate). Изредка nat или проброс трафика.

true_admin ★★★★★
(29.12.09 15:45:40 MSK)

Ссылка

Еще можно использовать "-m state" для цепочки OUTPUT.

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Разрешит связанные (с уже установленными) соединения

nixtrian ★
(29.12.09 16:33:37 MSK)

Ответ на: комментарий от nixtrian 29.12.09 16:33:37 MSK

Вместо -m state --state ESTABLISHED,RELATED уже давно как
-m conntrack --ctstate ESTABLISHED,RELATED

~~ssk85~~
(30.12.09 12:55:22 MSK)

Ссылка

Ответ на: комментарий от nixtrian 29.12.09 16:33:37 MSK

для OUTPUT лучше оставить политику ACCEPT. а вот для INPUT лучше DROP. ну и соотв. правила только для INPUT писать.

а из руководств лучше книжку прочитай «Firewalls in Linux». мне 1 раза хватило чтобы разобраться. при чем до этого я вообще с сетевыми фильтрами не имел дела :)

Cosmicman ★★
(01.01.10 11:51:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Загрузка только командной строки. Конфигурирование GRUB

Admin

ошибка urlopen error (-3, 'Temporary failure in name resolution')

→

Похожие темы