+ Responder ao Tópico



  1. #1
    mceiras
    Visitante

    Padrão aceitando ssh de um unico ip

    Como faco para minha maquina so aceitar ssh de determinado ip (ou range de ip) ?

    []'s

    Marcelo Eiras

  2. #2

    Padrão aceitando ssh de um unico ip

    O mais facil é por no seu firewall liberando a porta apenas pro ip ou pra range.

    falows

  3. #3

    Padrão aceitando ssh de um unico ip

    #LIBERAR A UM HOST
    $IPT -A INPUT -p tcp -i $IFACE_EXT -s 10.11.12.13 -j ACCEPT

    #BLOQUEAR ACESSO
    $IPT -A INPUT -p tcp --dport 22 -j DROP

    #BLOQUEAR A EXECUÇÃO DO SSH
    $IPT -A FORWARD -p tcp -i $IFACE_INTER -o $IFACE_EXTE --dport 22 -j DROP

    :good:

  4. #4

    Padrão aceitando ssh de um unico ip

    em /etc/ssh/sshd.conf vc define isso :twisted:

  5. #5
    mceiras
    Visitante

    Padrão aceitando ssh de um unico ip

    Como assim libero ip apenas no ssh.conf ??? Que eu saiba só da pra fazer isso via iptables ou similar...

  6. #6

    Padrão aceitando ssh de um unico ip

    caramba, mano.. vc deveria PELO MENOS ter-se dado ao trabalho de LER o sshd.conf, não?

    está escritinho lá:

    Listen Address (o default é atender todos - ou qualquer um)

    daí, vc coloca o end. ip que vc quer que seja atendido pelo sshd.

    Quanto ao iptables e etc, não entendo nada disso, não uso. Mas minhas suspeitas é de que (sendo um firewall) vc deverá permitir o acesso do end.ip externo para essa mákina, porta 22. Em seguida, o sshd verifica se o acesso está sendo feito pela mákina (ip-addr) correta.


    Numa próxima vez, LEIA a documentação, se assim for orientado.

  7. #7
    jotacekm
    Visitante

    Padrão aceitando ssh de um unico ip

    outra maneira nao seria fazer com q o iptables desse drop em todos os pacotes que chegam na porta 22, menos dessa range de ips q vc quer?

  8. #8

    Padrão aceitando ssh de um unico ip

    seria sim, jotackm, mas acontece que (sendo preciosista, e eu sou) todos aquêles que responderam indicando o iptables o fizeram inadequadamente, porque fugiu do escôpo da pergunta:

    "Como faco para minha maquina so aceitar ssh de determinado ip (ou range de ip) ?
    "

    se eu, estendendo um pouco a "liberdade" daquêles que responderam, tivesse REALMENTE que responder fora do escôpo, poderia ter respondido assim:

    a) com o pf do FreeBSD/OpenBSD/NetBSD vc pode...
    b) com o ipf (dos mesmos)
    c) com o ipfw (também)..


    razões:

    1 - não é indicado o SO.
    2 - não se informa se êle está apenas na rede interna ou se está "de frente" para a Internet. No primeiro caso, possívelmente não usaria um firewall. No segundo, sim.

    flames > /dev/null

    :twisted:

  9. #9
    fpmazzi
    Visitante

    Padrão aceitando ssh de um unico ip

    Citação Postado originalmente por irado
    seria sim, jotackm, mas acontece que (sendo preciosista, e eu sou) todos aquêles que responderam indicando o iptables o fizeram inadequadamente, porque fugiu do escôpo da pergunta:

    "Como faco para minha maquina so aceitar ssh de determinado ip (ou range de ip) ?
    "

    se eu, estendendo um pouco a "liberdade" daquêles que responderam, tivesse REALMENTE que responder fora do escôpo, poderia ter respondido assim:

    a) com o pf do FreeBSD/OpenBSD/NetBSD vc pode...
    b) com o ipf (dos mesmos)
    c) com o ipfw (também)..


    razões:

    1 - não é indicado o SO.
    2 - não se informa se êle está apenas na rede interna ou se está "de frente" para a Internet. No primeiro caso, possívelmente não usaria um firewall. No segundo, sim.

    flames > /dev/null

    :twisted:
    brow me diz uma coisa, sei ke no ssh da pra liberar para um unico ip, ja usei isto, e pra liberar para uma rante, em listen address seria colocar somente por exemplo 192.168.100.0 ? ou seja o escopo da rede?

  10. #10

    Padrão aceitando ssh de um unico ip

    sim.. mas não é muito usado, na verdade, pq a rigor nós queremos que o acesso seja permitido apenas para UMA máquina administrativa. Mas que pode, pode.

    :twisted:

  11. #11

    Padrão Re: aceitando ssh de um unico ip

    Ai vai mais uma dica:


    IFEXT="eth0"
    IFINT="eth1"

    $IPTABLES -N ADMIN
    $IPTABLES -A ADMIN -i $ IFEXT -p tcp --dport 22 --syn -j ACCEPT
    $IPTABLES -A ADMIN -p tcp --dport 22 --syn -j ACCEPT
    $IPTABLES -A INPUT -i $IFEXT -s 200.100.100.100 -j ADMIN


    Valeu !!!