Strona 1 z 1
SSH - iptables - logowanie z lanu i Internetu
: 16 kwietnia 2016, 14:16
autor: pawelekm
Witam
Próbuję ustawić port ssh w iptables (nie w sshd) po lanie na 22 a z internetu na porcie 15000. Szukam i jakoś nie mogę znaleźć albo jak już coś to nie idzie mi. Chyba już mam mętlik w głowie. Prosiłbym o pomoc. Mój kod:
Kod: Zaznacz cały
# Lan - działa
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
#Logowanie z Internetu- nie działa
iptables -I FORWARD -p tcp -i eth1 -o eth0 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 15000 -j REDIRECT --to-port 22
Re: SSH - iptables - logowanie z lanu i Internetu
: 16 kwietnia 2016, 17:51
autor: pawkrol
Dla mnie trochę to bez sensu stosując redirect w ten sposób, bo i tak musisz otworzyć port 22 od strony wan.
Lepiej zmień domyślny port 22 na jakiś wysoki.
Rozumiem, że eth1 to interfejs od strony lan.
Re: SSH - iptables - logowanie z lanu i Internetu
: 16 kwietnia 2016, 20:19
autor: dedito
Jeśli pamięć mnie nie myli to deamon SSH potrafi słuchać na kilku portach.
Re: SSH - iptables - logowanie z lanu i Internetu
: 16 kwietnia 2016, 20:35
autor: pawkrol
Być może. Choć nigdy nie próbowałem. Jeśli ustawisz nasluch na 2 portach to nie potrzebny redirect.
Re: SSH - iptables - logowanie z lanu i Internetu
: 19 kwietnia 2016, 12:48
autor: pawelekm
Więc co- nie da się?? Nie widzę konkretnych wskazówek...
Re: SSH - iptables - logowanie z lanu i Internetu
: 19 kwietnia 2016, 13:43
autor: dedito
Da się, wskazano rozwiązanie z nasłuchiwaniem na dwóch portach bez konieczności przekierowań.
Pytanie jaki jest powód takiego rozdzielenia portów?
Dodatkowo oprócz regułek musisz nam wylistować cały firewall, bo wcześniejsze regułki mogą pomijać te które dodajesz w ramach tego wątku (zwłaszcza, że dodajesz je używając --append).
Re: SSH - iptables - logowanie z lanu i Internetu
: 20 kwietnia 2016, 08:36
autor: skomak
Kod: Zaznacz cały
#Port 22
ListenAddress 127.0.0.1:22
ListenAddress 192.168.0.53:15000
Kod: Zaznacz cały
netstat -natpl | grep LISTEN
tcp 0 0 127.0.0.1:22 0.0.0.0:* LISTEN 5179/sshd
tcp 0 0 192.168.0.53:15000 0.0.0.0:* LISTEN 5179/sshd
Re: SSH - iptables - logowanie z lanu i Internetu
: 20 kwietnia 2016, 08:56
autor: pawkrol
No to od strony wana otwierasz port 15000 i po sprawie ( Reguła INPUT). Chyba, że serwer ssh jest za natem to dnat+forward.
Tylko zwróć uwagę na ListenAddress w konfigu (przyporządkuj go do odpowiedniego interfejsu).