Isso abrirá uma porta não padrão para o ssh?

1

Estou seguindo os tutoriais sobre o iptable e quero permitir o tráfego ssh em minha porta SSH não padrão = YYY. Eu acho que é assim que você faz, mas quer checar novamente para que eu não fique fora do meu servidor. Isso adicionará uma regra como parte de uma "cadeia de entrada" (não sei ao certo o que é isso). A regra aceitará o tráfego ssh na porta = YYY (permitindo o tráfego tcp na porta = YYY). Certo?

$sudo iptables -A INPUT -p tcp --dport YYY -j ACCEPT
    
por bernie2436 14.03.2014 / 02:27

1 resposta

1

Esta regra, por si só, não o bloqueará, pois só faz com que algum tráfego seja aceito.

É a regra certa para permitir o tráfego para a porta YYY. Certifique-se de que não haja uma regra anterior que bloqueie todo o tráfego (as regras são processadas em ordem, a primeira correspondência se aplica). Execute iptables -nvL INPUT para listar as regras de entrada. INPUT é o nome da cadeia (ou seja, uma lista de regras) que é aplicada aos pacotes de entrada.

Você presumivelmente usará uma regra REJECT após para rejeitar outro tráfego de entrada. É aqui que você precisa ter cuidado. Defina algumas portas de firewall somente aceitar conexões de rede local? contém um exemplo de uma configuração de firewall que deve ser adequada (mas use a seu próprio risco, não irei reiniciar seu servidor se você ficar bloqueado).

Certifique-se de não bloquear a saída do servidor; para uma configuração simples, apenas deixe a saída irrestrita.

Para evitar ficar bloqueado, um truque é colocar um comando para redefinir o firewall para abrir o cronômetro, por exemplo,

sleep 300; iptables -I INPUT -j accept

Eu recomendo fazer isso de dentro da tela ou do tmux. Se você fizer isso diretamente a partir da conexão ssh, há um risco de que o comando executado tente enviar algo e falhar porque o terminal não está mais disponível.

Observe que não há nenhum benefício de segurança em colocar o SSH em uma porta não padrão: ele não tornará o SSH menos propenso a ataques. A única vantagem é que você terá menos ataques de varredura, portanto, menos inundação de seus registros.

    
por 14.03.2014 / 02:41