Estou tentando fazer o serviço de porta bater no meu pi de framboesa. Eu editei minhas regras iptables para bloquear o tráfego de entrada, mas ainda posso ssh no pi do meu macbook. Eu NÃO deveria ser capaz de fazer isso, se eu estou entendendo as regras do iptables corretamente.
Meu pi realmente bloqueou o ssh momentaneamente quando testei minha configuração do iptables. Mas depois que eu instalei o knockd e iniciei o serviço, posso fazer o ssh sem problema novamente ... mesmo que isso seja o oposto do que deveria acontecer.
do meu pi:
sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
nano /etc/iptables/rules.v4
# Generated by iptables-save v1.4.21 on Wed May 4 23:53:23 2016
*filter
:INPUT DROP [469:58510]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1788:276430]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Wed May 4 23:53:23 2016
Do meu macbook, depois de fechar a sessão para não atingir a regra ESTABLISHED
ssh [email protected]
[email protected]'s password:
# enter password and it logs me in
EDITAR
Na verdade, nenhuma das regras do iptables está sendo respeitada. Eu bloqueei literalmente tudo e ainda recebo a solicitação para efetuar login no ssh; Eu até recebo a página de índice do apache bullcrap do servidor quando eu vou para aquele IP no navegador.
sudo iptables -F
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
Sobre chutar um bebê ...
Tags ssh networking iptables firewall linux