Hi@all,

ich komme einfach nicht per ssh auf meine Firewall. Ich möchte lediglich vom lokalen Netz aus die Firewall per ssh administrieren. Die Konfigurartion im Firewallskript ist auch direkt hinter den Default-Policy's und da das Skript beim ausführen keinen Fehler meldet kann ein darüberliegender iptables-Aufruf dafür nicht verantwortlich sein. Das Skript sieht (Auszug) so aus:

P_SSH=1000:1023
INT=eth0
EXT=ppp0

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -F
iptables -t nat -F
iptables -X


iptables -A INPUT -i $INT -s $LAN -p TCP --sport $P_SSH --dport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $INT -d $LAN -p TCP --dport $P_SSH --sport ssh -m state --state ESTABLISHED,RELATED -j ACCEPT

Die dynamischen Kernel-Parameter (zwischen den Variabeln und der Default Policy) habe ich nicht gepostet da diese ja keinen Einfluss darauf haben.
Das Skript wird auch abgearbeitet da fast ganz am Ende http freigegeben wird und das funktioniert nach dem ausführen des Skriptes. Was habe ich hier schon wieder falsch?

Gruss Pixel

P.S. die zwei Aufrufe habe ich aus dem SuSE-Firewall-Handbuch. Die Erklärung zu den beiden habe ich verstanden und es klang auch plausibel, nur leider funktioniert es nicht.

Hi@all,

Ich hab's gefunden. Die Variable $P_SSH war das Problem. SuSE hat in dem Beispiel diese mit dem Protbereich 1000:1023 definiert und damit klappt es bei mir nicht. Als ich diese gegen $P_HIGH ausgetauscht habe (diese ist mit allen unpreviligierten Ports >1024 belegt hat es geklappt. Was sollte 1000:1023 denn bewirken?

Gruss Pixel

Original geschrieben von pixel
Was sollte 1000:1023 denn bewirken?
Da hab ich auch keinen Schimmer. Von diesen Ports können nur dann Connects kommen, wenn der SSH-Client zunächst mit root-Privilegien gestartet wurde (zumindestens unter UNI*en), damit er diese privilegierten Ports auch reservieren kann.

Oberflächlich betrachtet würde ich sagen, dass sich bei dieser Port-Range jemand vertan hat.

Harry