SSH dla konkrentego MAC, komputer za NAT

kodama · Post autor: **kodama** » 24 listopada 2014, 21:26

Witajcie, mam taką zagwozdkę jak na rysunku:

Załącznik ssh.png nie jest już dostępny

Jak napisać regułkę do IPTABLES, aby ten laptop miał dostęp do ssh na tym konkretnym komputerze? Zastanawiałem się nad regułą opartą o MAC. Laptop korzysta z internetu przez modem 3G.

Chciałem się iptables nauczyć co nieco, ale na tym poległem niestety.
Korzystam ze szkieletu, który kiedyś podał kolega Yampress na blogu:

Kod: Zaznacz cały

#!/bin/bash
 
### BEGIN INIT INFO
# Provides:          firewall.sh
# Required-Start:    $local_fs $remote_fs
# Required-Stop:     $local_fs $remote_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
### END INIT INFO

echo "Starting firewall"

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Dla sieci lokalnej to banał, ale jak to zrobić dla pc spoza sieci.

DODANE
Dobra, debil ze mnie, przecież co ja chcę MAC przez internet dodać do iptables :P
Muszę coś innego wykombinować.

Post autor: **LordRuthwen** » 25 listopada 2014, 08:22

kodama pisze: DODANE Dobra, debil ze mnie, przecież co ja chcę MAC przez internet dodać do iptables :P Muszę coś innego wykombinować.

Post autor: **dedito** » 25 listopada 2014, 12:49

Przekierowanie samego IP, które dostaje laptop jest tu najprostszym rozwiązaniem.
Sprawa się komplikuje jeśli laptop nie ma stałego IP od dostawcy Internetu.
W przypadku braku stałego adresu, jak nie chcesz aby cały świat się dobijał do twojego SSH możesz ograniczyć pulę IP do tych, które posiada dostawca Internetu dla tego laptopa.

Post autor: **pawkrol** » 25 listopada 2014, 14:08

Plus uwierzytelnianie ssh oparte na kluczach. Zmieniałnym też port usługi na jakiś wysoki > 1024

Ewentualnie zestawiasz tunel do routera, na firewallu dajesz dostęp do portu 22 adresowi który przydzielił ci serwer vpn.

kodama · Post autor: **kodama** » 25 listopada 2014, 16:57

Dzięki za podpowiedzi rozwiązań

t3amh4cks · Post autor: **t3amh4cks** » 25 listopada 2014, 19:47

http://hacks-island.com - The Best Hacks For Games Android/iOS To Download!

kodama · Post autor: **kodama** » 25 listopada 2014, 20:39

Hm, no okej - przerobiłem sobie ten materiał: https://dug.net.pl/tekst/65/ssh___klucz ... ez_hasla)/ , ale rozumiem, że do tego fajnie byłoby przeedytować jeszcze /etc/ssh/sshd_config i dać takie zmiany:

Kod: Zaznacz cały

...
PubkeyAuthentication yes
AuthorizedKeysFile ~/.ssh/authorized_keys
...
PasswordAuthentication no

?
Bo jak tego nie zmienię to ok - wyskakuje mi monit o passphrase, ale jak go pominę to i tak mnie pyta o hasło do konta na tej maszynie. A i tak mogę się zalogować z dowolnego innego kompa, na którym nie ma klucza.

Post autor: **Yampress** » 25 listopada 2014, 20:51

fail2ban
portknocking

kodama · Post autor: **kodama** » 25 listopada 2014, 21:08

fail2ban to obowiązkowo mam.

Post autor: **Yampress** » 25 listopada 2014, 21:14

Jednym z podstawowych rozwiązań jest zmiana portu na 4 cyfrowy albo 5 ... jak ktoś wyżej wspomniał.
Wpuszczanie ssh z danego adresu IP jest niby dobre , ale do czasu kiedy nie wyniknie potrzeba zalogowania się z innego miejsca
(innego IP) i wtedy jesteś pogrzebany.

A MAC nie działa w globalnym necie.. tylko w sieci lokalnej

=8[]