Como posso permitir a conexão ssh de uma sub-rede IP na porta 10022 usando iptables?

Question

Como posso permitir a conexão ssh de uma sub-rede IP na porta 10022 usando iptables?

#1 resposta do January (1 votos)

2

Eu preciso configurar um servidor com IP público para teste de largura de banda, e eu já tenho um script para descartar todo o tráfego de entrada, exceto para as portas que eu preciso. Eu mudei a porta ssh do padrão (22) para outra (vamos chamá-lo de XXXXX; desculpe a paranóia, mas acabamos de ser hackeados na semana passada).

Então, minha pergunta é: como posso permitir que um intervalo de IPs seja enviado para o servidor por meio dessa porta específica?

O script que mencionei anteriormente:

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i em1 -p tcp --dport XXXXX -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o em1 -p tcp --sport XXXXX -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o em1 -p tcp --dport XXXXX -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i em1 -p tcp --sport XXXXX -m state --state ESTABLISHED -j ACCEPT

Então eu só preciso adicionar o intervalo de ip para que eu possa ssh remotamente.

por Mike 20.09.2013 / 18:56

1 resposta

Remove todas as linhas que começam com um hash de uma lista Onde encontrar os valores-chave legítimos dos aceleradores nautilus?

score 1 · Answer 1

Use a opção -s de iptables . Aceita um IP do formulário nnn.nnn.nnn.nnn ou com uma máscara ( nnn.nnn.nnn.nnn/nnn.nnn.nnn.nnn ou nnn.nnn.nnn.nnn/nn ). Então, para permitir conexões de exemplo de nnn.nnn.nnn. * Você pode escrever

iptables -A INPUT -s nnn.nnn.nnn.0/255.255.255.0 -i em1 -p tcp --dport XXXXX -m state --state NEW,ESTABLISHED -j ACCEPT

ou

iptables -A INPUT -s nnn.nnn.nnn.0/24 -i em1 -p tcp --dport XXXXX -m state --state NEW,ESTABLISHED -j ACCEPT

(veja, por exemplo, aqui para o cálculo da netmask)

Se não conseguir criar uma máscara de rede, receio que você tenha que duplicar a regra para cada um dos endereços IP que deseja permitir conectar ao seu servidor.

Em geral, no entanto, eu nunca achei o trabalho com o iptables diretamente muito legal, pode-se perder rapidamente a visão geral. Eu provavelmente iria para algo como shorewall .