Regra do Netfilter / tc para separar o tráfego SSH e SFTP?

Navegue suas respostas
2

Quando me conecto ao meu servidor (RasPI 2 com Raspbian) remotamente, quero que minhas sessões SSH interativas sempre tenham prioridade sobre qualquer sessão SFTP em execução. Além disso, as sessões de SFTP devem ter menos prioridade do que, por exemplo, Tráfego SMB na rede local.

O servidor está atrás de um roteador dd-wrt, por sua vez conectado a um modem a cabo com largura de banda de uplink de 5Mbps.

Eu entendo que devo usar iptables para marcar os pacotes de saída para classes diferentes e tc para colocá-los em classes diferentes. Mas como posso dizer ao iptables para discernir pacotes SSH de pacotes SFTP e marcá-los de forma diferente? No cenário acima, eles vêm da mesma porta, o nome do processo é o mesmo ( sshd ), o usuário é o mesmo e também o endereço IP de destino.

O daemon sshd está usando seu servidor SFTP interno para usar o recurso ChrootDirectory .

    
por ris8_allo_zen0 16.08.2015 / 14:29

1 resposta

1

Não, não é possível com essa configuração. sftp é subsistema de sshd e os comandos sftp são apenas encapsulados em ssh protocol, que tem no processo do lado do servidor chamado sftp-server em vez de bash , o que é comum em sessões ssh normais. / p>

A possibilidade seria executar outra instância de sshd service com o subsistema sftp em uma porta diferente, que você pode então simplesmente diferenciar em iptables por port. Você pode até mesmo tornar o outro serviço sftp-only definindo ForcedCommand /path/to/sftp-server para não aceitar sessões ssh normais.

    
por 16.08.2015 / 17:02

Tags

Abra um novo arquivo a partir da linha de comandos no os / x usando o aplicativo padrão para o tipo de arquivo Não é possível compilar o PHP 5.6.12 no Windows 10