Strona 1 z 2
[+] SSH, iptables i dwa numery ip
: 25 lipca 2011, 17:18
autor: panisher
Mam problem, utraciłem kontakt z serwerem, chciałem ustawić ograniczenie do jednego numeru IP aby z jednego serwera można było połączyć się z drugim. W drugim serwerze wybrałem polecenie:
Kod: Zaznacz cały
iptables -I INPUT -s <IP_Pierwszy_serwer> -p tcp -m tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 22 -j REJECT
Mam dwa ip ustawione na pierwszym serwerze, główne i dodatkowe, łączyć się można przez ssh i tylko przez dodatkowe ip i na to ip ustawiłem w drugim serwerze.
Czy możliwe, że jak się łącze z serwerem pierwszym przez ssh to i tak ten serwer łączy się z drugim przez ip główne?
: 25 lipca 2011, 20:39
autor: grzesiek
Możliwe, bo zapewne do połączeń wychodzących np. demon sshd używa głównego, a nie dodatkowego.
Teraz, możesz w pierwszym serwerze ustawić tak, że połączenia wychodzące i kierowane na IP srv2 tcp/22 mają adres źródłowy 'dodatkowy'.
Powinno pomóc.
: 26 lipca 2011, 00:18
autor: panisher
Próbowałem w ten sposób połączyć się przez ssh:
Kod: Zaznacz cały
ssh me@secondary_ip -p port -D bind_address:forwarding_port
ale nie działa.
Czy wpis dla firewalla, który zrobiłem jest w 100% poprawny?
: 26 lipca 2011, 09:22
autor: grzesiek
Za mało jasna jest dla mnie Twoja sytuacja. Poza tym z dwóch reguł można tylko stwierdzić tyle, że pierwsza przepuszcza tylko z 'IP_Pierwszy_serwer' druga resztę połączeń odrzuca.
: 26 lipca 2011, 12:19
autor: panisher
Obawiam się, że czeka mnie format partycji, a chcę tego uniknąć. Mógłbyś mi napisać jakie są możliwości wyjścia? Nie mam doświadczenia w konfigurowaniu firewalla, a obecnie pierwszy serwer jest roboczym serwerem gdzie działa parę obszernych stron www. Chcę po najmniejszej
linii oporu i konfiguracji pierwszego serwera dostać się na drugi.
Próbowałem dostać się przez wstawienie (
przekierowania IP w poleceniu ssh), ale nie pomogło, ale nie mam pewności, czy rzeczywiście ssh wysłało zapytanie jako drugie ip.
/etc/network/interfaces
Kod: Zaznacz cały
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address xxx
netmask 255.255.255.0
network xxx
broadcast xxx
gateway xxx
auto eth0:0
iface eth0:0 inet static
address yyy
netmask 255.255.255.255
Serwer stoi na OVH.
: 28 lipca 2011, 14:52
autor: Cyphermen
Jeśli wpisałeś to w takiej kolejności jak masz u góry, to druga reguła nadpisuje ci pierwszą, według mnie.
Zrób sobie ,,snat'' jako to ip, które może się logować dla portu 22. Chociaż nie wiem, czy da się wtedy wybrać port, chociaż z drugiej strony masz ip zewnętrzne, więc ,,snat'' nic tu nie pomoże.
Czy masz w ogóle dostęp do serwera drugiego?
: 30 lipca 2011, 20:32
autor: widmo17
Może spróbuj wklepać:
Kod: Zaznacz cały
ifconfig eth0 ip_z_którego_się_chcesz_łączyć
Poza tym jak chcesz odzyskać dostęp do serwera to wystarczy, że go
zrestartujesz, o ile nie zapisywałeś gdzieś na stałe reguł iptables.
: 31 lipca 2011, 09:14
autor: panisher
Wpisałem tylko te komendy, które podałem na początku posta. Nie wiem co znaczy na stałe, sądziłem że wpisanie do firewall zawsze jest na stałe?
Swoją drogą jeżeli nie mam fizycznego dostępu do maszyny, to jak miała by wyglądać reguła która zezwala tylko dla danego ip wejście na port?
: 31 lipca 2011, 11:50
autor: Cyphermen
Tak jak wpisałeś, z tym, że tak jak mówię: druga nadpisuje Ci pierwszą, według mnie. Na stałe, to znaczy, że jeszcze musisz zapisać te reguły do pliku firewall, który startuje wraz z systemem bo tak to ci te reguły znikną po restarcie.
: 31 lipca 2011, 12:16
autor: grzesiek
panisher, jaki wpisałaś adres w miejsce
Ustaw na tym pierwszym serwerze taki adres, ale nie jako alias, ba nie chcesz zmieniać konfiguracji serwera? Zadbaj tylko o to, aby pierwszy serwer nie używał ustawionego IP na zaporze i na jakimś komputerze, laptopie ustaw taki adres i zaloguj się do tego serwera.
Nie trzeba go restartować, a tym bardziej przeinstalować, bez przesady. A tak na przyszłość, to jak się nie znasz to zdalnie konfigurując zaporę ustawiaj zadanie (at) czyszczące wszystkie reguły.
Dodane:
A przepraszam, bo Ty Insert zrobiłeś, a to nie fajnie...