Strona 1 z 2
SSH dla konkrentego MAC, komputer za NAT
: 24 listopada 2014, 21:26
autor: kodama
Witajcie, mam taką zagwozdkę jak na rysunku:
Załącznik ssh.png nie jest już dostępny
Jak napisać regułkę do IPTABLES, aby ten laptop miał dostęp do ssh na tym konkretnym komputerze? Zastanawiałem się nad regułą opartą o MAC. Laptop korzysta z internetu przez modem 3G.
Chciałem się iptables nauczyć co nieco, ale na tym poległem niestety.
Korzystam ze szkieletu, który kiedyś podał kolega Yampress na blogu:
Kod: Zaznacz cały
#!/bin/bash
### BEGIN INIT INFO
# Provides: firewall.sh
# Required-Start: $local_fs $remote_fs
# Required-Stop: $local_fs $remote_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable service provided by daemon.
### END INIT INFO
echo "Starting firewall"
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Dla sieci lokalnej to banał, ale jak to zrobić dla pc spoza sieci.
DODANE
Dobra, debil ze mnie, przecież co ja chcę MAC przez internet dodać do iptables :P
Muszę coś innego wykombinować.
: 25 listopada 2014, 08:22
autor: LordRuthwen
kodama pisze: DODANE Dobra, debil ze mnie, przecież co ja chcę MAC przez internet dodać do iptables :P Muszę coś innego wykombinować.
: 25 listopada 2014, 12:49
autor: dedito
Przekierowanie samego IP, które dostaje laptop jest tu najprostszym rozwiązaniem.
Sprawa się komplikuje jeśli laptop nie ma stałego IP od dostawcy Internetu.
W przypadku braku stałego adresu, jak nie chcesz aby cały świat się dobijał do twojego SSH możesz ograniczyć pulę IP do tych, które posiada dostawca Internetu dla tego laptopa.
: 25 listopada 2014, 14:08
autor: pawkrol
Plus uwierzytelnianie ssh oparte na kluczach. Zmieniałnym też port usługi na jakiś wysoki > 1024
Ewentualnie zestawiasz tunel do routera, na firewallu dajesz dostęp do portu 22 adresowi który przydzielił ci serwer vpn.
: 25 listopada 2014, 16:57
autor: kodama
Dzięki za podpowiedzi rozwiązań
: 25 listopada 2014, 19:47
autor: t3amh4cks
http://hacks-island.com - The Best Hacks For Games Android/iOS To Download!
: 25 listopada 2014, 20:39
autor: kodama
Hm, no okej - przerobiłem sobie ten materiał:
https://dug.net.pl/tekst/65/ssh___klucz ... ez_hasla)/ , ale rozumiem, że do tego fajnie byłoby przeedytować jeszcze /etc/ssh/sshd_config i dać takie zmiany:
Kod: Zaznacz cały
...
PubkeyAuthentication yes
AuthorizedKeysFile ~/.ssh/authorized_keys
...
PasswordAuthentication no
?
Bo jak tego nie zmienię to ok - wyskakuje mi monit o passphrase, ale jak go pominę to i tak mnie pyta o hasło do konta na tej maszynie. A i tak mogę się zalogować z dowolnego innego kompa, na którym nie ma klucza.
: 25 listopada 2014, 20:51
autor: Yampress
fail2ban
portknocking
: 25 listopada 2014, 21:08
autor: kodama
fail2ban to obowiązkowo mam.
: 25 listopada 2014, 21:14
autor: Yampress
Jednym z podstawowych rozwiązań jest zmiana portu na 4 cyfrowy albo 5 ... jak ktoś wyżej wspomniał.
Wpuszczanie ssh z danego adresu IP jest niby dobre , ale do czasu kiedy nie wyniknie potrzeba zalogowania się z innego miejsca
(innego IP) i wtedy jesteś pogrzebany.
A MAC nie działa w globalnym necie.. tylko w sieci lokalnej
=8[]