PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH input JA output NEIN



debian-climber
12.02.03, 12:41
Hallo zusammen,

ich hätte da mal folgendes Szenario.
Router: 3 Netzwerkkarten:
eth0= ....1.1
eth1= 212.219.217.72 (öffentiche ip)

eth2 = ...2.1
direkte verbindung mit
webeserver: eth0 = ...2.2

Ich hätte jetzt gerne dass ich per ssh auf den webserver drauf komme (IST Zustand), von dort aus aber keine ssh verbindungen ins netz ....1.0 machen darf (SOLL Zustand)

Das ganze mit ipchains.

Kann ich nicht einfach bei dem router
ipchains -A output -s 192.168.2.2 22 -i eth2 -p tcp -d 192.168.2.0/24 -j DENY
machen.

Wo liegt der Fehler?

Viele Grüsse

Matthias

Jasper
12.02.03, 12:50
Original geschrieben von debian-climber

ich hätte da mal folgendes Szenario.
Router: 3 Netzwerkkarten:
eth0= ....1.1
eth1= 212.219.217.72 (öffentiche ip)

eth2 = ...2.1
direkte verbindung mit
webeserver: eth0 = ...2.2

Ich hätte jetzt gerne dass ich per ssh auf den webserver drauf komme (IST Zustand), von dort aus aber keine ssh verbindungen ins netz ....1.0 machen darf (SOLL Zustand)

Das ganze mit ipchains.

Kann ich nicht einfach bei dem router
ipchains -A output -s 192.168.2.2 22 -i eth2 -p tcp -d 192.168.2.0/24 -j DENY
machen.

Wo liegt der Fehler?


meine ipchains-tage liegen zwar schon etwas zurück, aber wenn du keine ssh-sessions zu x.x.1.0 erlauben willst, würde ich das so machen:

ipchains -A output -o eth0 -d x.x.1.0/24 ssh -y -j REJECT

damit sollten alle pakete geblockt werden, die über eth0 an netz x.x.1.0/24 port 22 mit gesetzten syn-flag geschickt werden.

-j

debian-climber
13.02.03, 09:55
Hi,


ipchains -A output -o eth0 -d x.x.1.0/24 ssh -y -j REJECT

also so funktioniert bei mir gar nichts.


Viele Grüsse

Matthias