IPTables + encaminhamento de porta dinâmica SSH = BLOQUEADO

Question

IPTables + encaminhamento de porta dinâmica SSH = BLOQUEADO

#1 resposta do (2 votos)
#2 resposta do (2 votos)

2

O IPTables está sendo executado no meu servidor da web. Eu realmente preciso de encaminhamento dinâmico de porta SSH, mas o meu IPTables DROP qualquer conexão INPUT / OUPUT, só permite algumas portas.

Para a cadeia FORWARD, escrevi estas regras:

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags:! 0x17/0x02 state NEW
ACCEPT     all  -f  0.0.0.0/0            0.0.0.0/0            limit: avg 100/sec burst 100
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            limit: avg 2/sec burst 10
DROP       all  --  0.0.0.0/0            0.0.0.0/0            state INVALID

Minhas regras podem bloquear qualquer conexão de encaminhamento de porta dinâmica SSH.

Quais regras eu preciso escrever? Não me diga para "Desativar IPTables", eu preciso de firewall para anti-cracker.

ssh port-forwarding iptables ssh-tunnel

por 比尔盖子 29.01.2012 / 15:14

2 respostas

2

Apenas para esclarecer a resposta de @kubanczyk, a cadeia FORWARD é irrelevante, pois se aplica apenas a pacotes recebidos destinados a um endereço diferente do host local que deve ser roteado através do host local. Como o daemon ssh está aceitando conexões (cadeia INPUT) em tcp / 22, iniciando conexões (cadeia OUTPUT) em nome do cliente (por causa de -D), não há encaminhamento de pacotes ocorrendo.

por 29.01.2012 / 16:18

Tags ssh port-forwarding iptables ssh-tunnel

Como recuperar o último horário de logon / logoff no Active Directory (ADAM)? apache + PHP no Ubuntu 11.04 me dá 500

score 2 · Accepted Answer

Eu acho que a cadeia INPUT do webserver já permite ssh, me perdoe por perguntar o óbvio.

Agora, para o tunelamento dinâmico (-D), você também precisa ativar o OUTPUT do servidor da Web (qualquer porta local) para o (s) host (s) remoto (s) desejado (s) e suas portas. Por remoto quero dizer aqueles que você deseja realmente se conectar através de seu túnel dinâmico.

Portanto, se você planeja usar o seu túnel para se conectar ao host 1.2.3.4 na porta 443, então você precisa PERMITIR no servidor web OUTPUT de qualquer porta para 1.2.3.4:443.

A corrente FORWARD é completamente irrelevante aqui.