Permitindo uma sub-rede inteira no servidor Ubuntu 11.10

1

Estou tentando permitir que todos os hosts da minha sub-rede se conectem a um servidor que estou executando no VirtualBox com ssh. Eu tentei vários métodos diferentes até agora, nenhum dos quais fez algum progresso. O que eu quero é permitir que todos os hosts na minha sub-rede tentem fazer o login sem serem bloqueados após um número arbitrário de tentativas falhas. (A partir de agora, são necessárias 6 tentativas para eu ser bloqueado.) Todos os métodos que encontrei online até agora não funcionaram. Muitos deles são muito parecidos, mas eu os experimentei de qualquer maneira. Nenhum deles funcionou. Eu estou usando uma configuração de rede NAT. Eu tenho o encaminhamento de porta já configurado. O que eu preciso ser capaz de fazer é permitir que um usuário, válido ou não, tente fazer o login quantas vezes quiser sem bloquear o IP do qual ele está tentando fazer o login.

Quando eu tento acessar o sistema virtual do meu sistema host, o IP bloqueado é 10.0.2.2

Quando eu executo ifconfig o endereço IP que mostra é 10.0.2.15/24

Eu tentei estes métodos diferentes:

Para o arquivo /etc/hosts.allow eu tentei

sshd: 10.0.2.
ALL: 10.0.2.
sshd:10.0.2.2
sshd: ALL: 10.0.2.15/24
sshd: 10.0.2.15/24 :ALLOW

Para o arquivo /etc/hosts.deny, tentei

ALL: ALL
sshd: ALL

Alguém pode me explicar como fazer isso funcionar? Todo método que eu tentei acima ainda me bloqueia após 6 tentativas fracassadas

Qualquer ajuda, dicas ou sugestões serão muito apreciadas!

    
por Andy 25.04.2012 / 04:03

1 resposta

1

Eu acho que você tem dois problemas:

  1. Você precisa estar usando uma rede em ponte para a VM, não para a NAT.

    Se você fizer uma captura de pacote na VM guest quando ela estiver configurada com um adaptador Ethernet virtual baseado em NAT, você descobrirá que os pacotes estão entrando na VM a partir do IP do adaptador Ethernet virtual do host, não do cliente IPs das máquinas, 10.0.2.x. Essa Network Address Translation (NAT) impede que seus TCP Wrappers façam o que você quer, porque impede que você diferencie conexões por fonte endereço.

    A conexão em ponte conecta a VM diretamente à LAN física, portanto, ela pode usar o mesmo esquema de IP que outros hosts na LAN. O host da VM apenas transmite pacotes para o IP da VM diretamente para a VM sem conversão neste modo.

  2. Acho que você está perseguindo a coisa errada, alterando os arquivos de configuração do TCP Wrappers. ( /etc/hosts.* ) Enquanto esses permitem configurar negações condicionais, pelo que eu saiba, não há nada no TCP Wrappers que permita dizer "negar após falhas X". Ele apenas permite que você defina regras que façam com que qualquer conexão seja negada ou permitida sem referência a eventos anteriores.

    Acabei de instalar uma nova VM Ubuntu 11.10 aqui e tentei fazer o login com uma senha incorreta dezenas de vezes. Ainda está aceitando tentativas; ainda não me trancou.

    Se tiver razão, o comportamento de bloqueio de seis falhas é causado por outra coisa, como fail2ban , Denyhosts , um firewall, etc.

por 25.04.2012 / 06:02

Tags