SSH, локалка, фильтр

0

0

В iptables есть правила типа -A INPUT -s 192.168.0.x/32 -i eth1 -j ACCEPT чтоб разрешать некоторым конкретным компам соединяться с сервером через SSH. Но локалка там на винде и какой-нибудь троян, например, может посылать пакеты от чужого IP или просто хитрый юзер сменить IP своего компа на разрешенный. Как этого избежать без лишней возни? Подозреваю, что можно как вариант сделать
статическую ARP-таблицу, но это не очень удобно.

Ссылка

←	Через мой сервер спамят. Sendmail.

TrueCrypt дает дырку в безопасности

→

Re: SSH, локалка, фильтр

openvpn же.

Redfoxnet ★
(01.08.09 15:04:50 MSD)

Ссылка

Re: SSH, локалка, фильтр

>например, может посылать пакеты от чужого IP или просто хитрый юзер >сменить IP своего компа на разрешенный

Если все сидит в одном сегменте то поможет фильтрация по мак адресу:

iptables -A INPUT -p tcp -i eth1 --destination-port 22 -m mac --mac-source 00:18:8B:C4:9C:8E -j ACCEPT

serjio28
(01.08.09 15:46:40 MSD)

Ответ на: Re: SSH, локалка, фильтр от serjio28 01.08.09 15:46:40 MSD

Re: SSH, локалка, фильтр

А тут же можно указать -s ипадрес чтоб уж наверняка?
MAC-адрес, я так понимаю, узнавать nmap-ом (или другой утилитой название которой узнать по apropos arp mac)...

Xenius ★★★★★
(01.08.09 16:32:44 MSD)

Ответ на: Re: SSH, локалка, фильтр от serjio28 01.08.09 15:46:40 MSD

Re: SSH, локалка, фильтр

мак на нужный хитрому юзеру очень легко сменить, так что не вариант

your_bunny
(01.08.09 18:13:50 MSD)

Ссылка

Ответ на: Re: SSH, локалка, фильтр от Xenius 01.08.09 16:32:44 MSD

Re: SSH, локалка, фильтр

>А тут же можно указать -s ипадрес чтоб уж наверняка?

Можно, но я не совсем понял смысл. Ведь у ssh есть пароль. И можно разрешить вход в систему только определенным пользователям.

mky ★★★★★
(01.08.09 23:14:25 MSD)

Ссылка

Re: SSH, локалка, фильтр

Таки авторизация по ключам решает. И таки нормальная настройка фаервола и свитчей, чтоб "вирусы" не могли сменить ip. arpwatch в помощь.

vexor
(02.08.09 02:55:09 MSD)

Ответ на: Re: SSH, локалка, фильтр от vexor 02.08.09 02:55:09 MSD

Re: SSH, локалка, фильтр

а не лучше виндовых юзеров сделать просыми юзерами, а не локальными админами, тогда ип сменить не получится, да и вирусам жить станет гораздо хуже.

CFA ★
(02.08.09 07:13:36 MSD)

Ответ на: Re: SSH, локалка, фильтр от CFA 02.08.09 07:13:36 MSD

Re: SSH, локалка, фильтр

А еще лучше винду заменить на GNU/Linux где можно. В общем-то этим и занимаемся...

Xenius ★★★★★
(03.08.09 11:07:29 MSD)

Ссылка

Re: SSH, локалка, фильтр

Разрешить ssh авторизацию только по ключам и никакой возни с iptables, очевидно же

Goganchic ★★
(18.08.09 22:57:01 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Через мой сервер спамят. Sendmail.

TrueCrypt дает дырку в безопасности

→