Problemas com SSH e iptables

ianczyk · 15-08-2005, 17:34

Gurus,

Sou novo para trabalhar com firewall e estou tentando fazer o que dá...
Mas estou assim:
Bloqueio o acesso por ssh em uma maquina (RedHat 9 e iptables_1.2.7a-2) para que somente o IP RRR.SSS.TTT.UUU tenha acesso ao AAA.BBB.CCC.DDD
Mas o maledeto aceita conexao por SSH até do Delubio Soares...

segue o codigo do /etc/sysconfig/iptables

Código :

*filter
:FORWARD     ACCEPT [0:0]
:INPUT       ACCEPT [0:0]
:OUTPUT      ACCEPT [0:0]
:FILTRO   -    [0:0]
 
-A INPUT -j FILTRO
-A FORWARD -j FILTRO
 
-A FILTRO -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
-A FILTRO -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "Xmas portscanner: "
-A FILTRO -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
 
-A FILTRO -p tcp --tcp-flags ALL SYN,FIN -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "SYN FIN portscanner: "
-A FILTRO -p tcp --tcp-flags ALL SYN,FIN -j DROP
 
-A FILTRO -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "SYN RST portscanner: "
-A FILTRO -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 
-A FILTRO -p tcp --tcp-flags ALL FIN -m limit --limit 2/m --limit-burst 2 -m state --state ! ESTABLISHED -j LOG --log-prefix "FIN portscanner: "
-A FILTRO -p tcp --tcp-flags ALL FIN -m state --state ! ESTABLISHED -j DROP
 
-A FILTRO -p tcp --tcp-flags ALL ALL -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "ALL portscanner: "
-A FILTRO -p tcp --tcp-flags ALL ALL -j DROP
 
-A FILTRO -p tcp --tcp-flags ALL NONE -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "NONE portscanner: "
-A FILTRO -p tcp --tcp-flags ALL NONE -j DROP
 
 
-A FILTRO -p tcp --syn -m limit --limit 1/s -j ACCEPT
-A FILTRO -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP
 
#essa eh a linha maldita!!!
-A FILTRO -p tcp -m tcp -s RRR.SSS.TTT.UUU -d AAA.BBB.CCC.DDD --dport 22 --syn -j ACCEPT
 
-A FILTRO -p tcp --dport 80 --syn -j ACCEPT
 
-A FILTRO -p tcp --dport 1111 --syn -j ACCEPT
-A FILTRO -p tcp --dport 2222 --syn -j ACCEPT
-A FILTRO -p tcp --dport 3333 --syn -j ACCEPT
-A FILTRO -p tcp --dport 4444 --syn -j ACCEPT
-A FILTRO -p tcp --dport 5555 --syn -j ACCEPT
-A FILTRO -p tcp --dport 6666 --syn -j ACCEPT
-A FILTRO -p tcp --dport 7777 --syn -j ACCEPT
-A FILTRO -p tcp --dport 8888 --syn -j ACCEPT
-A FILTRO -p tcp --dport 9999 --syn -j ACCEPT
 
-A FILTRO -p tcp -m tcp -s 10.0.0.1 -d 10.0.0.2 --dport 111 -j ACCEPT
-A FILTRO -p udp -m udp -s 10.0.0.1 -d 10.0.0.2 --dport 111 -j ACCEPT
-A FILTRO -p tcp -m tcp -s 10.0.0.1 -d 10.0.0.2 --dport 2049 -j ACCEPT
-A FILTRO -p udp -m udp -s 10.0.0.1 -d 10.0.0.2 --dport 2049 -j ACCEPT
 
-A FILTRO -p tcp --dport 110 --syn -j ACCEPT
-A FILTRO -p tcp --dport 25 --syn -j ACCEPT
-A FILTRO -p udp --dport 53 -j ACCEPT
 
-A FILTRO -p tcp -m tcp -s 10.0.0.0/24 -d 10.0.0.2 --dport 3128 --syn -j ACCEPT
 
-A FILTRO -j REJECT
 
COMMIT

Meus povos, to fazendo alguma besteira?!
Qualquer dica, ou sugestão é muito bem vinda...

Valeu gente,

**lacierdias** · 16-08-2005, 07:29

Amigo vc tem :INPUT ACCEPT [0:0] na cabeça do firewall
Assim vc não barra nada..

**josiel** · 16-08-2005, 14:20

Bom se você é novo nisso, tente limpar um pouco dessas regras faz o basico testa e implamenta mais, realmente o erro esta na POLITICA padrao do INPUT como ACCEPT, mas colocar a POLITICA como DROP vai complicar um pouco mais o firewall, tem ums exemplos de firewall no forum tenta ver alguns exemplos antes de mexer.

Problemas com SSH e iptables

Ferramentas de Tópicos

Problemas com SSH e iptables

Problemas com SSH e iptables

firewall