← Back to team overview

sslug-teknik team mailing list archive

iptables & ssh

 

Hejsa,

Jeg har en mistanke om at jeg er gået glip af et eller andet
væsentligt. Når jeg connecter med ssh til serveren tager det
laaang tid at komme til prompted. skurken er tilsyneladende
følgende regel:

# default rule - drop alt der kommer udefra
iptables -A INPUT -i $EXTIF -p all -s 0/0       -j DROP

Uden den flyver jeg lige igennem til prompt.

Jeg må mangle at lukke op for en eller anden kontrol port ???

Anybody ?

Enjoy

Mogens

/etc/rc.d/rc.firewall

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# loopback - frit spil
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Gæster har intet at gøre på serveren :)
iptables -A FORWARD -p all      -s 192.168.1.0/24       -d 192.168.1.1          -j DROP

# Tillad igangværende sessioner
iptables -A FORWARD -i $EXTIF -o $PRVIF -m state --state ESTABLISHED,RELATED    -j ACCEPT
iptables -A FORWARD -i $EXTIF -o $PUBIF -m state --state ESTABLISHED,RELATED    -j ACCEPT

# Blok trafik mellem lokale netvaerk
iptables -A FORWARD -p all      -s 192.168.0.0/24       -d 192.168.1.0/24       -j DROP
iptables -A FORWARD -p all      -s 192.168.1.0/24       -d 192.168.0.0/24       -j DROP

# Børne versionen af ovenstående (slet senere)
#iptables -A FORWARD -p udp -s 192.168.1.0/24  -d 192.168.0.0/24  -j DROP
#iptables -A FORWARD -p tcp -s 192.168.1.0/24  -d 192.168.0.0/24  -j DROP
#iptables -A FORWARD -p udp -s 192.168.0.0/24  -d 192.168.1.0/24  -j DROP
#iptables -A FORWARD -p tcp -s 192.168.0.0/24  -d 192.168.1.0/24  -j DROP

#tillad trafik til, smtp pop3 samt dns
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport ssh           -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport smtp          -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport domain        -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp -s 0/0 --dport domain        -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport http          -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport https         -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport pop3          -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport imap          -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport mysql         -j ACCEPT

# default rule - drop alt der kommer udefra
iptables -A INPUT -i $EXTIF -p all -s 0/0       -j DROP



-- 
This message has been scanned for viruses and
dangerous content by OpenProtect(http://www.openprotect.com), and is
believed to be clean.



Follow ups