PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Nur SSH über die Iptables



Scaryman
03.07.03, 18:38
Hallo

Ich möchte nur SSH Zulassen aber leider bekomme ich das nicht hin was ist hier an meinem Skript Falsch


#!/bin/sh

iptables -F #Alle Regeln werden gelöscht

lan="eth0"
web="ppp0"

#Dichtmachen der Firewall

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Internen Verkehr Erlauben
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


#Regeln die Erlaubt werden

#####--SSH--####
iptables -A INPUT -p tcp --sport 22 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 --dport 22 -j ACCEPT


Danke

hydronic
03.07.03, 18:46
hi,

das Script sieht eigentlich korreckt aus. Kannst du beschreiben was nicht funktioniert?

gruss,
hydronic

Scaryman
03.07.03, 18:51
Sobald ich das Script Aktiviere Komme ich nicht mehr auf dem Pc.Und da an dem Pc kein Monitor Angeschloßen ist kann ich dann nichts mehr Sagen.Ich mache dann immr Aus und An und versuche es neu

HangLoose
03.07.03, 18:54
moin moin

in der input chain ist der source-port falsch und in der output chain der destination-port.

der ssh-client startet die verbindung von den highports aus und der ssh-server schickt die antworten
auch wieder an diesen highport.


Gruß HL

hydronic
03.07.03, 18:57
hi,

sorry, hab den fehler eben übersehen (glaube ich):

iptables -A INPUT -p tcp --sport 22 --dport 22 -j ACCEPT

damit lässt du ja nur eingehende pakete mit dem source port 22 durch. entferne mal das --sport 22, dann sollte es funktionieren. (selbiges in der output chain mit dem dport)

edit: war wieder einer schneller :rolleyes:

gruss,
hydronic

Jasper
03.07.03, 19:00
wie hangloose bereits schrieb, stimmen deine ports nicht.
aber warum lässt du nicht das connection tracking die arbeit machen?

einfach:

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT

und connection tracking macht den rest.

-j