URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92274
[ Назад ]
Исходное сообщение
"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 01:08 
пытаюсь ограничить доступ к серверу по ssh средствами фаервола, но ничего не работает. доступ имеют все желающие

вот мои настройки
-A RH-Firewall-1-INPUT -p tcp -d 192.168.0.0/24 -s 192.168.0.0/24 --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d my.ip -s my.ip --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 22 -j DROP

можно конечно заблочить и через hosts.allow но мне кажется это неправильно или я ошибаюсь?

Содержание
Сообщения в этом обсуждении
"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 03:15 
-A INPUT -m tcp -p tcp -s 192.168.0.1 --dport 22 -j ACCEPT
-A INPUT -m tcp -p tcp -s 192.168.0.2 --dport 22 -j ACCEPT
-A INPUT -m tcp -p tcp -s 192.168.0.3 --dport 22 -j ACCEPT
и так далее.
"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 04:40 
> -A INPUT -m tcp -p tcp -s 192.168.0.1 --dport 22 -j ACCEPT
> -A INPUT -m tcp -p tcp -s 192.168.0.2 --dport 22 -j ACCEPT
> -A INPUT -m tcp -p tcp -s 192.168.0.3 --dport 22 -j ACCEPT
> и так далее.

все так же не работает((

"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 04:44 
> все так же не работает((

А думать не пробовали?
уберите свое, то, что писали выше.
добавьте это в начало, а потом DROP для всех остальных на 22 tcp порт

"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 13:57 
>> все так же не работает((
> А думать не пробовали?
> уберите свое, то, что писали выше.
> добавьте это в начало, а потом DROP для всех остальных на 22
> tcp порт

так я вроде не идиот
вот код
-A INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
-A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
-A INPUT -m tcp -p tcp --dport 22 -j DROP

коннекты извне замечательно проходят
сам тестил

"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 14:01 
> -A INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
> -A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
> -A INPUT -m tcp -p tcp --dport 22 -j DROP
> коннекты извне замечательно проходят
> сам тестил

А "из-вне" это часом не my.ip? он у Вас разрешен.

дайте полный вывод iptables-save , возможно у Вас выше стоят правила, из-за которых до указанных правил дело просто не доходит.

А заодно, еще и вывод
iptables -L -n -v

может вы правила не применяете вообще, а просто их пишите.

"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 14:13 
>[оверквотинг удален]
>> -A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
>> -A INPUT -m tcp -p tcp --dport 22 -j DROP
>> коннекты извне замечательно проходят
>> сам тестил
> А "из-вне" это часом не my.ip? он у Вас разрешен.
> дайте полный вывод iptables-save , возможно у Вас выше стоят правила, из-за
> которых до указанных правил дело просто не доходит.
> А заодно, еще и вывод
> iptables -L -n -v
> может вы правила не применяете вообще, я просто их пишите.

ip с которого тестирую совершенно другой и из другой подсети

вывод
sudo /sbin/iptables-save
# Generated by iptables-save v1.3.5 on Sat Sep 17 14:13:26 2011
*filter
:INPUT ACCEPT [8316091:2406794146]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6415849:3302278938]
COMMIT
# Completed on Sat Sep 17 14:13:26 2011

вывод
sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 8315K packets, 2407M bytes)
pkts bytes target     prot opt in     out     source               destination            

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination            

Chain OUTPUT (policy ACCEPT 6415K packets, 3302M bytes)
pkts bytes target     prot opt in     out     source               destination

"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 14:16 
Ну и... Сами поняли, или все еще надо объяснять?
"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 14:33 
> Ну и... Сами поняли, или все еще надо объяснять?

эээ... это намек на то что у меня правила не приминились
во всех манах что мне попадались написано что
правила прописываются в файле /etc/sysconfig/iptables а после ребутается служба network

в некоторых статьях было написано что для применения правил пишется в консоли
iptables правило

но мне казалось это одно и тоже

"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 14:36 
/etc/init.d/iptables restart

chkconfig --level 235 iptables on - чтоб стартовало при загрузке.


Это ж охренеть можно, где Вы такие маны взяли, чтоб Вам предлагали все время рестартить network... Вы здорово лукавите, однако, по man iptables (главный ман, который Вы не читаете, а читаете непонятные маны) такого в помине нет.

"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 15:14 
> /etc/init.d/iptables restart
> chkconfig --level 235 iptables on - чтоб стартовало при загрузке.
> Это ж охренеть можно, где Вы такие маны взяли, чтоб Вам предлагали
> все время рестартить network... Вы здорово лукавите, однако, по man iptables
> (главный ман, который Вы не читаете, а читаете непонятные маны) такого
> в помине нет.

мда... ламер я конечно еще тот
спасибо за помощь

последний вопрос остался
я так понимаю что в центосе RH-Firewall-1-INPUT является алеасом для INPUT
команды в iptables
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT

"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 15:17 
> последний вопрос остался
> я так понимаю что в центосе RH-Firewall-1-INPUT является алеасом для INPUT
> команды в iptables
> -A INPUT -j RH-Firewall-1-INPUT
> -A FORWARD -j RH-Firewall-1-INPUT

ни RH-Firewall-1-INPUT, ни RH-Firewall-2-INPUT и ничего тому подобное ничем не является, до тем самых пор, пока Вы сами не определите имя цепочки.

"CentOS iptables открыть доступ только для списка IP"
Отправлено shadow_alone , 17-Сен-11 14:21 
> так я вроде не идиот
> вот код
> -A INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
> -A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
> -A INPUT -m tcp -p tcp --dport 22 -j DROP

я бы поспорил по поводу первой строки :) и кстати, выиграл бы спор, как то так :)

"CentOS iptables открыть доступ только для списка IP"
Отправлено dead_star , 17-Сен-11 15:21 
>> так я вроде не идиот
>> вот код
>> -A INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
>> -A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
>> -A INPUT -m tcp -p tcp --dport 22 -j DROP
> я бы поспорил по поводу первой строки :) и кстати, выиграл бы
> спор, как то так :)

а чем плоха первая строка?

"CentOS iptables открыть доступ только для списка IP"
Отправлено Rada_shah22 , 19-Сен-11 14:46 
>>> так я вроде не идиот
>>> вот код
>>> -A INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
>>> -A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
>>> -A INPUT -m tcp -p tcp --dport 22 -j DROP
>> я бы поспорил по поводу первой строки :) и кстати, выиграл бы
>> спор, как то так :)
> а чем плоха первая строка?

Да наверное по поводу того. что сеть локальная (в той же сети находится и сервер на котором вас айпитейблс крутится) и она так и так разрешена )))

"CentOS iptables открыть доступ только для списка IP"
Отправлено anonymous , 19-Сен-11 21:50 
>[оверквотинг удален]
>>>> вот код
>>>> -A INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
>>>> -A INPUT -m tcp -p tcp -s my.ip --dport 22 -j ACCEPT
>>>> -A INPUT -m tcp -p tcp --dport 22 -j DROP
>>> я бы поспорил по поводу первой строки :) и кстати, выиграл бы
>>> спор, как то так :)
>> а чем плоха первая строка?
> Да наверное по поводу того. что сеть локальная (в той же сети
> находится и сервер на котором вас айпитейблс крутится) и она так
> и так разрешена )))

Не разрешена. iptables-у пофиг до локальных сетей, что напишите, то и будет.

"CentOS iptables открыть доступ только для списка IP"
Отправлено anonymous , 19-Сен-11 21:51 
>я бы поспорил по поводу первой строки :) и кстати, выиграл бы спор, как то так :)

И всё таки хотелось бы услышать ответ. А то аж спать и кушать не могу))

"CentOS iptables открыть доступ только для списка IP"
Отправлено reader , 20-Сен-11 10:56 
>>я бы поспорил по поводу первой строки :) и кстати, выиграл бы спор, как то так :)
> И всё таки хотелось бы услышать ответ. А то аж спать и
> кушать не могу))

от бессонницы :) .
С ходу видится возможность с внешки прокидаться пакетами в шлюз, а через него в локальную машину, но нужно быть в одной подсети с шлюзом. повалить что-то врятли удастся, так мелкая шалость :) .

если стремитесь похудеть, то ждите других объяснений. :)