[+] SSH, iptables i dwa numery ip

[panisher]

Mam problem, utraciłem kontakt z serwerem, chciałem ustawić ograniczenie do jednego numeru IP aby z jednego serwera można było połączyć się z drugim. W drugim serwerze wybrałem polecenie:

Kod: Zaznacz cały

iptables -I INPUT -s <IP_Pierwszy_serwer> -p tcp -m tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 22 -j REJECT

Mam dwa ip ustawione na pierwszym serwerze, główne i dodatkowe, łączyć się można przez ssh i tylko przez dodatkowe ip i na to ip ustawiłem w drugim serwerze.

Czy możliwe, że jak się łącze z serwerem pierwszym przez ssh to i tak ten serwer łączy się z drugim przez ip główne?

[grzesiek]

Możliwe, bo zapewne do połączeń wychodzących np. demon sshd używa głównego, a nie dodatkowego.
Teraz, możesz w pierwszym serwerze ustawić tak, że połączenia wychodzące i kierowane na IP srv2 tcp/22 mają adres źródłowy 'dodatkowy'.
Powinno pomóc.

[panisher]

Próbowałem w ten sposób połączyć się przez ssh:

Kod: Zaznacz cały

ssh me@secondary_ip -p port -D bind_address:forwarding_port

ale nie działa.

Czy wpis dla firewalla, który zrobiłem jest w 100% poprawny?

[grzesiek]

Za mało jasna jest dla mnie Twoja sytuacja. Poza tym z dwóch reguł można tylko stwierdzić tyle, że pierwsza przepuszcza tylko z 'IP_Pierwszy_serwer' druga resztę połączeń odrzuca.

[panisher]

Obawiam się, że czeka mnie format partycji, a chcę tego uniknąć. Mógłbyś mi napisać jakie są możliwości wyjścia? Nie mam doświadczenia w konfigurowaniu firewalla, a obecnie pierwszy serwer jest roboczym serwerem gdzie działa parę obszernych stron www. Chcę po najmniejszej linii oporu i konfiguracji pierwszego serwera dostać się na drugi.

Próbowałem dostać się przez wstawienie (przekierowania IP w poleceniu ssh), ale nie pomogło, ale nie mam pewności, czy rzeczywiście ssh wysłało zapytanie jako drugie ip.

/etc/network/interfaces

Kod: Zaznacz cały

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
    address xxx
    netmask 255.255.255.0
    network xxx
    broadcast xxx
    gateway xxx

auto eth0:0
iface eth0:0 inet static
address yyy
netmask 255.255.255.255

Serwer stoi na OVH.

[Cyphermen]

Jeśli wpisałeś to w takiej kolejności jak masz u góry, to druga reguła nadpisuje ci pierwszą, według mnie.

Zrób sobie ,,snat'' jako to ip, które może się logować dla portu 22. Chociaż nie wiem, czy da się wtedy wybrać port, chociaż z drugiej strony masz ip zewnętrzne, więc ,,snat'' nic tu nie pomoże.

Czy masz w ogóle dostęp do serwera drugiego?

[widmo17]

Może spróbuj wklepać:

Kod: Zaznacz cały

ifconfig eth0 ip_z_którego_się_chcesz_łączyć

Poza tym jak chcesz odzyskać dostęp do serwera to wystarczy, że go zrestartujesz, o ile nie zapisywałeś gdzieś na stałe reguł iptables.

[panisher]

Wpisałem tylko te komendy, które podałem na początku posta. Nie wiem co znaczy na stałe, sądziłem że wpisanie do firewall zawsze jest na stałe?

Swoją drogą jeżeli nie mam fizycznego dostępu do maszyny, to jak miała by wyglądać reguła która zezwala tylko dla danego ip wejście na port?

[Cyphermen]

Tak jak wpisałeś, z tym, że tak jak mówię: druga nadpisuje Ci pierwszą, według mnie. Na stałe, to znaczy, że jeszcze musisz zapisać te reguły do pliku firewall, który startuje wraz z systemem bo tak to ci te reguły znikną po restarcie.

[grzesiek]

panisher, jaki wpisałaś adres w miejsce

Kod: Zaznacz cały

IP_Pierwszy_serwer

Ustaw na tym pierwszym serwerze taki adres, ale nie jako alias, ba nie chcesz zmieniać konfiguracji serwera? Zadbaj tylko o to, aby pierwszy serwer nie używał ustawionego IP na zaporze i na jakimś komputerze, laptopie ustaw taki adres i zaloguj się do tego serwera.
Nie trzeba go restartować, a tym bardziej przeinstalować, bez przesady. A tak na przyszłość, to jak się nie znasz to zdalnie konfigurując zaporę ustawiaj zadanie (at) czyszczące wszystkie reguły.

Dodane:
A przepraszam, bo Ty Insert zrobiłeś, a to nie fajnie...