iptables und ssh

[pinpin]

Hallo zusammen,

ich bin grade dabei mich etwas mit iptables zu beschäftigen und versuche den SSH-Zugriff auf meinen Rechner nur von einer bestimmten IP zu erlauben. Leider funktioniert das gar nicht.

Mein Befehl ist der folgende:

Code:

iptables -A INPUT -p tcp -s ! 192.168.100.5 --dport 22 -j DROP

Was mache ich falsch? Ich gebe den Befehl ein und kann dennoch von 192.168.100.2 und 192.168.100.3 zugreifen.

[asi_dkn]

Hast du eventuell noch andere Rules welche den Zugriff unter Umständen schon vor dieser Regel erlauben?

Zeige mal den Ouput von

Code:

iptables -nvL

[Rain_maker]

Anderer Ansatz:

Das lässt sich auch ohne iptables und über "/etc/hosts.allow" erledigen.

[pibi]

Was mache ich falsch? Ich gebe den Befehl ein und kann dennoch von 192.168.100.2 und 192.168.100.3 zugreifen.

Ich vermute, dass Du weiter vorne bereits alles erlaubst. Der erste Treffer in der Iptables-Queue gewinnt;-)

Und wenn Du Iptables verwenden willst, wuerde ich den umgekehren Weg gehen. Zuerst alles verbieten und dann selektiv erlauben, was man braucht. So "vergisst" man keine Dienste/Adressen/Ports.

Gruss Pit.

[marce]

Anderer Ansatz:

Das lässt sich auch ohne iptables und über "/etc/hosts.allow" erledigen.

... oder über die sshd_config.

[pinpin]

Omg, oh ja. Ihr habt ja so Recht. Ich hatte ein Befehl drin der alles erlaubt, nach einem reboot und erneuten Eingabe der Regel hat es funktioniert. So einfach kann es sein.

Gibt es eine Möglichkeit alle Regeln mit einem Befehl zu entfernen?

[marce]

Code:

man iptables

[pinpin]

Okay,

Code:

iptables -F

Dankeschön!

[uschzmet]

öm kann es sein das das ! vor der IP nur sagt das alle ips ausser diese ip ... kann mich ja irren aber im howto hier stehts so ... stichwort: negierter wert ....

das würde dann auch den zugriff von der 2 und 3 erklären, generell befürworte ich auch die /etc/hosts.allow

Hallo zusammen,

ich bin grade dabei mich etwas mit iptables zu beschäftigen und versuche den SSH-Zugriff auf meinen Rechner nur von einer bestimmten IP zu erlauben. Leider funktioniert das gar nicht.

Mein Befehl ist der folgende:

Code:

iptables -A INPUT -p tcp -s ! 192.168.100.5 --dport 22 -j DROP

Was mache ich falsch? Ich gebe den Befehl ein und kann dennoch von 192.168.100.2 und 192.168.100.3 zugreifen.

[asi_dkn]

das ! negiert schon, aber das heisst das alle ausser 192.168.100.5 auf Port 22 keinen Zugriff haben. Die Regel hätte schon gestimmt.

[uschzmet]

da wir grad beim thema iptables und ssh sind

ich möchte von einem server ssh auf eine netzwerkkarte (eth1 zb) freigeben , das sollte hiermit geschehen:

Code:

  iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A OUTPUT -o eth1 -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

vom server auf das netzwerk komme ich raus, aber will ich vom netzwerk wieder rein dann hab ich keine chance , erst wenn ich die firewall wieder runterfahr .... oder hab ich irgendwas vergessen ?

[asi_dkn]

den Status "NEW" hast du vergessen. Du lässt in jetzt nur Pakete die zu bereits bestehenden Verbindungen gehören zu.

[uschzmet]

jub stimmt, aber leider hab ich das problem nach wie vor

ich kann von dem server heraus connecten aber nichtmehr vom netzwerk aus in den server ...

[HirschHeisseIch]

Vielleicht, wie bei TE auch, eine Regel vorher, die die Verbindung verbietet?

[uschzmet]

bis zu port 22 steht nur das noch im script drinn :

Code:

 iptables -F

  iptables -P INPUT ACCEPT
  iptables -P FORWARD ACCEPT
  iptables -P OUTPUT ACCEPT

  iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT



  iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  iptables -A OUTPUT -o eth1 -p tcp --sport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT