aceitando ssh de um unico ip

mceiras · 13-01-2006, 02:23

Como faco para minha maquina so aceitar ssh de determinado ip (ou range de ip) ?

[]'s

Marcelo Eiras

**ruyneto** · 13-01-2006, 02:31

O mais facil é por no seu firewall liberando a porta apenas pro ip ou pra range.

falows

**spyderlinux** · 13-01-2006, 07:40

#LIBERAR A UM HOST
$IPT -A INPUT -p tcp -i $IFACE_EXT -s 10.11.12.13 -j ACCEPT

#BLOQUEAR ACESSO
$IPT -A INPUT -p tcp --dport 22 -j DROP

#BLOQUEAR A EXECUÇÃO DO SSH
$IPT -A FORWARD -p tcp -i $IFACE_INTER -o $IFACE_EXTE --dport 22 -j DROP

:good:

**irado** · 13-01-2006, 07:58

em /etc/ssh/sshd.conf vc define isso :twisted:

mceiras · 13-01-2006, 09:26

Como assim libero ip apenas no ssh.conf ??? Que eu saiba só da pra fazer isso via iptables ou similar...

**irado** · 13-01-2006, 10:09

caramba, mano.. vc deveria PELO MENOS ter-se dado ao trabalho de LER o sshd.conf, não?

está escritinho lá:

Listen Address (o default é atender todos - ou qualquer um)

daí, vc coloca o end. ip que vc quer que seja atendido pelo sshd.

Quanto ao iptables e etc, não entendo nada disso, não uso. Mas minhas suspeitas é de que (sendo um firewall) vc deverá permitir o acesso do end.ip externo para essa mákina, porta 22. Em seguida, o sshd verifica se o acesso está sendo feito pela mákina (ip-addr) correta.

Numa próxima vez, LEIA a documentação, se assim for orientado.

jotacekm · 13-01-2006, 11:50

outra maneira nao seria fazer com q o iptables desse drop em todos os pacotes que chegam na porta 22, menos dessa range de ips q vc quer?

**irado** · 13-01-2006, 12:11

seria sim, jotackm, mas acontece que (sendo preciosista, e eu sou) todos aquêles que responderam indicando o iptables o fizeram inadequadamente, porque fugiu do escôpo da pergunta:

"Como faco para minha maquina so aceitar ssh de determinado ip (ou range de ip) ?
"

se eu, estendendo um pouco a "liberdade" daquêles que responderam, tivesse REALMENTE que responder fora do escôpo, poderia ter respondido assim:

a) com o pf do FreeBSD/OpenBSD/NetBSD vc pode...
b) com o ipf (dos mesmos)
c) com o ipfw (também)..

razões:

1 - não é indicado o SO.
2 - não se informa se êle está apenas na rede interna ou se está "de frente" para a Internet. No primeiro caso, possívelmente não usaria um firewall. No segundo, sim.

flames > /dev/null

:twisted:

fpmazzi · 13-01-2006, 14:49

Postado originalmente por irado

seria sim, jotackm, mas acontece que (sendo preciosista, e eu sou) todos aquêles que responderam indicando o iptables o fizeram inadequadamente, porque fugiu do escôpo da pergunta:

"Como faco para minha maquina so aceitar ssh de determinado ip (ou range de ip) ?
"

se eu, estendendo um pouco a "liberdade" daquêles que responderam, tivesse REALMENTE que responder fora do escôpo, poderia ter respondido assim:

a) com o pf do FreeBSD/OpenBSD/NetBSD vc pode...
b) com o ipf (dos mesmos)
c) com o ipfw (também)..

razões:

1 - não é indicado o SO.
2 - não se informa se êle está apenas na rede interna ou se está "de frente" para a Internet. No primeiro caso, possívelmente não usaria um firewall. No segundo, sim.

flames > /dev/null

:twisted:

brow me diz uma coisa, sei ke no ssh da pra liberar para um unico ip, ja usei isto, e pra liberar para uma rante, em listen address seria colocar somente por exemplo 192.168.100.0 ? ou seja o escopo da rede?

**irado** · 13-01-2006, 15:20

sim.. mas não é muito usado, na verdade, pq a rigor nós queremos que o acesso seja permitido apenas para UMA máquina administrativa. Mas que pode, pode.

:twisted:

**gatoseco** · 13-01-2006, 15:35

Ai vai mais uma dica:

IFEXT="eth0"
IFINT="eth1"

$IPTABLES -N ADMIN
$IPTABLES -A ADMIN -i $ IFEXT -p tcp --dport 22 --syn -j ACCEPT
$IPTABLES -A ADMIN -p tcp --dport 22 --syn -j ACCEPT
$IPTABLES -A INPUT -i $IFEXT -s 200.100.100.100 -j ADMIN

Valeu !!!

aceitando ssh de um unico ip

Ferramentas de Tópicos