LINUX.ORG.RU

iptables

 , , ,


0

1

Привет ЛОР!

Сегодня начал изучать iptables. И в итоге странное дело с портами, решил я закрыть у себя локально ssh.

Делаю это таким правилом:

iptables -A INPUT -i p1p1 -p tcp --dport 22 -j DROP

В итоге все отлично, в сети я не могу зайти по ssh(При наборе ssh 192.168.1.100 нет запроса пароля).

Но у меня есть роутер с OpenWrt, на котором я сделал проброс с 222 на 22 порт локально компа. В итоге сейчас если попытаться зайти по ssh на 222 порт, то выскакивает запрос пароля, но правда если ввести верный пароль, то логина нет. Почему есть запрос пароля при конекте по ssh на внешний ip? Я даже не знаю что предположить. Сейчас просто смотрю как-именно делается проброс в OpenWrt(Я все делал через web-интерфейс).


Запустите tcpdump на 192.168.1.100 на перехват пакетов для 22 порта и посмотрте, отвечает ли он что-нибудь на запросы с маршрутизатора с OpenWrt. Может у вас раньше по списку в INPUT стоит разрешающее правило.

mky ★★★★★ ()
Ответ на: комментарий от mky

iptables чист. Да и странно что он локально так работает, а с внешeb по другому. По идеи ведь просто должен пробросить.. Сейчас буду смотреть tcpdump.

Вот все правила в iptables:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

Woklex ()

Тупняк с моей стороны, пойду спать ^_^

Правило в openwrt:

Имя	            Выбирать	                Перенаправлять в
ssh               Из любого хоста в wan         любого хоста                
IPv4-TCP, UDP     Через любой IP-адрес          port 22 в lan
                  маршрутизатора, port 222

Перенаправление в любой хост в локалке(Забыл что ssh есть на самом роутере). В итоге локальный комп отфутболиовал, но в итоге заходил на сам OpenWrt по адресу 192.168.1.1

При этом если приавило «iptables -A INPUT -i p1p1 -p tcp --dport 22 -j DROP» убрать, то заходит на локальный комп(интересно почему такие приоритеты?)

Woklex ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.