Como permitir que redes externas se conectem via ssh ao servidor interno usando iptables [closed]

1

Estou tendo um firewall com o IP de 10.0.0.2/24, que é o gateway padrão também. Eu preciso permitir redes externas para poder SSH para o servidor que seu IP é 10.0.0.1/24. Eu tenho que usar o iptables e preciso definir as permissões no firewall.

    
por Marvic Grima 05.01.2018 / 20:27

2 respostas

2

Você precisará garantir que existem duas regras no firewall, supondo que todo o restante esteja em vigor:

  1. Regras de encaminhamento: o tráfego deve ter permissão para ser encaminhado para a porta 10.0.0.1 a partir do exterior.
  2. Regras NAT: como você está trabalhando com uma rede IPv4 privada RFC 1918, será necessário alterar o endereço de destino dos pacotes que chegam ao firewall destinado à porta 22.

Mais uma vez, suponho que o seu firewall esteja configurado para mascarar o tráfego limitado à WAN, tenha o encaminhamento IPv4 ativado e permita que o tráfego de retorno seja encaminhado.

Para abordar a primeira parte para garantir que o encaminhamento seja permitido:

iptables -I FORWARD -d 10.0.0.1 --p TCP --dport 22 -j ACCEPT

Esta regra pode ser desnecessária se sua cadeia FORWARD for padronizada como ACCEPT (normalmente o padrão).

Em segundo lugar, para realizar a tradução do endereço de destino:

iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to 10.0.0.1

Em ambos os exemplos, usei -I para garantir que as regras sejam inseridas primeiro em suas respectivas cadeias; tomando precedência sobre quaisquer regras existentes. Isso pode ou não ser desejável.

Você pode tornar as regras mais específicas adicionando nomes de interface, mas não especificou nenhuma na pergunta.

Observe também que essas regras não são persistentes; uma reinicialização do sistema fará com que eles desapareçam.

    
por 05.01.2018 / 21:32
0

Usando as permissões abaixo, consegui enviar ssh externamente para uma rede interna.

# nano /etc/sysctl.conf

net.ipv4.ip_forward = 1

# route add -net 10.0.0.0/24 dev ens33
# iptables -t nat -A POSTROUTING ! -d 10.0.0.0/24 -o ens33 -j SNAT --to-source 192.168.1.200
# iptables -A PREROUTING -t nat -i ens38 -p tcp --dport 22 -j DNAT --to 10.0.0.1
# iptables -A FORWARD -p tcp -d 10.0.0.1 --dport 22 -j ACCEPT
    
por 06.01.2018 / 01:35