Вопросы Теги

iptables управляет для блокирования ssh удаленных переданных портов

Защитник является просто набором антишпиона. Это не собирается останавливать все вирусы, таким образом, Вы будете все еще зависеть от достойного virusscanner. Но это может заменить некоторые функции McAfee.

3
задан 31 August 2009 в 05:36
4 ответа

Понятый это. Мой исходный ruleset заблокировал все очень хорошо. Проблема wass, что на этом сервере, localhost твердость (через/etc/hosts) к:: 1 (обратная петля IPv6) сначала. Эти правила не работали из-за этого. После того, как я удалил ту запись из своего/etc/hosts файла, я смог получить все это работать просто великолепно. Мой сценарий тестирования похож на это:

#!/bin/bash
iptables --flush

iptables -A INPUT -i lo -p tcp --dport 0:1024 -j ACCEPT
iptables -A OUTPUT -o lo -p tcp --dport 0:1024 -j ACCEPT
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT

#iptables -I INPUT 1 -i lo -p tcp --dport 10001 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -I OUTPUT 1 -o lo -p tcp --dport 10001 -m state --state NEW,ESTABLISHED -j ACCEPT

С последними двумя включенными строками я могу открыть ssh локальное переданное соединение на порте 10001. С ними отключенный, я не могу.Прекрасно!

2
ответ дан 3 December 2019 в 05:37

Разве не было бы легче выключить ssh, передающий на ssh сервере? Просто изменение AllowTcpForwarding от да до не в Вашем/etc/ssh/sshd_config. Если это не подходит, Вы могли бы попробовать что-то вроде

iptables -A OUTPUT -o eth1 -p tcp --cmd-owner "sshd" -j DROP
4
ответ дан 3 December 2019 в 05:37
  • 1
    Я буду снова включать его для выборочных портов на на пользовательское основание, таким образом, никакой этот won' t работа, которую я заявил в своем вопросе. –  Oliver Nelson 31 August 2009 в 05:26
  • 2
    Попробовать добавленное правило? –  Cian 31 August 2009 в 05:54
  • 3
    Я don' t скомпилировали ipt_owner модуль в, но тем не менее, I' m пытающийся заблокировать трафик, слушающий на высоких номерах портов на петлевом интерфейсе. Походит на него shouldn' t требуют, чтобы этот модуль сделал. Любая подсказка, почему широкие правила i' m установка not' t ловящий этот трафик? –  Oliver Nelson 31 August 2009 в 06:01

Переданные соединения произойдут из локальной системы. Необходимо было бы удалить ниже правила, которое позволяет исходящие соединения, и затем в случае необходимости замените его несколькими правилами, которые только позволяют исходящие соединения, которые Вы явно разрешаете.

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
0
ответ дан 3 December 2019 в 05:37
  • 1
    Дал этому попытку, все еще работы. Какие-либо другие идеи? –  Oliver Nelson 31 August 2009 в 05:23

Учтите, что вместо "localhost" может использоваться:

  • любой петлевой адрес 127.x.x.x
  • адрес любого сетевого интерфейса на сервере

и также Вы не сделали записал что-либо о клиенте B, пытающемся соединяться непосредственно с clientA:

ssh-L 23:clientA:80 someserver (я выбрал порт 80 b/c, возможно, Ваш брандмауэр, позволяет его исходящий),

Я сожалею, со всеми они (и больше) доступные опции, вместе с Вашим очень простым знанием iptables, вероятно, что Вы покидаете зияющие дыры в своей установке. Если бы что-либо действительно ценное находится в доле, я предложил бы спросить кого-то, кто знает лучше, чтобы сделать все это.

0
ответ дан 3 December 2019 в 05:37

Теги

Похожие вопросы