SSH - iptables - logowanie z lanu i Internetu

[pawelekm]

Witam
Próbuję ustawić port ssh w iptables (nie w sshd) po lanie na 22 a z internetu na porcie 15000. Szukam i jakoś nie mogę znaleźć albo jak już coś to nie idzie mi. Chyba już mam mętlik w głowie. Prosiłbym o pomoc. Mój kod:

Kod: Zaznacz cały

# Lan - działa
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

#Logowanie z Internetu- nie działa
iptables -I FORWARD -p tcp -i eth1 -o eth0 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 15000 -j REDIRECT --to-port 22

[pawkrol]

Dla mnie trochę to bez sensu stosując redirect w ten sposób, bo i tak musisz otworzyć port 22 od strony wan.
Lepiej zmień domyślny port 22 na jakiś wysoki.
Rozumiem, że eth1 to interfejs od strony lan.

[dedito]

Jeśli pamięć mnie nie myli to deamon SSH potrafi słuchać na kilku portach.

[pawkrol]

Być może. Choć nigdy nie próbowałem. Jeśli ustawisz nasluch na 2 portach to nie potrzebny redirect.

[pawelekm]

Więc co- nie da się?? Nie widzę konkretnych wskazówek...

[dedito]

Da się, wskazano rozwiązanie z nasłuchiwaniem na dwóch portach bez konieczności przekierowań.
Pytanie jaki jest powód takiego rozdzielenia portów?
Dodatkowo oprócz regułek musisz nam wylistować cały firewall, bo wcześniejsze regułki mogą pomijać te które dodajesz w ramach tego wątku (zwłaszcza, że dodajesz je używając --append).

[skomak]

Kod: Zaznacz cały

#Port 22
ListenAddress 127.0.0.1:22
ListenAddress 192.168.0.53:15000

Kod: Zaznacz cały

/etc/init.d/ssh restart

Kod: Zaznacz cały

netstat -natpl | grep LISTEN
tcp        0      0 127.0.0.1:22            0.0.0.0:*               LISTEN      5179/sshd
tcp        0      0 192.168.0.53:15000      0.0.0.0:*               LISTEN      5179/sshd

[pawkrol]

No to od strony wana otwierasz port 15000 i po sprawie ( Reguła INPUT). Chyba, że serwer ssh jest za natem to dnat+forward.
Tylko zwróć uwagę na ListenAddress w konfigu (przyporządkuj go do odpowiedniego interfejsu).