Problem z odblokowaniem ssh iptables
: 30 czerwca 2015, 14:11
To kod mojej zapory
mały opis sieci:
router posiada cztery interfejsy pierwszy 88.220.77.194 -> na internet,
drugi to 192.168.254.253 -> na sieć 192.168.254.0/24
trzeci 172.16.1.1 -> na sieć 172.16.1.0/24
czwarty 172.16.2.1 -> 172.16.2.0/24
w sieci 192.168.254.0/24 znajduje się serwer http,dns,ftp
W chwili obecnej pozwalam na dostęp przez ssh do routera z zewnątrz przez internet przez adres 88.220.77.193
chciałbym też zezwolić sieci 172.16.1.0/24 na połaczenie ssh routerem na adres np. 172.16.1.1 - adres bramy tej sieci lub którymkolwiek interfejsem routera.
Próbowałem różnych opcji np.
iptables -A INPUT -s 172.16.1.1 -d 172.16.1.0/24 -p tcp --dport 22 -j ACCEPT ale nie działa...
Możliwe że błąd raczej banalny ale zablokowałem się tym :/
Wiem że niby mógłbym na początku dać iptables -A INPUT -p tcp --dport 22 -j ACCEPT ale następna sieć(172.16.2.0/24) ma mieć zablokowany dostęp do ssh
Kod: Zaznacz cały
#!/bin/bash
echo "1" >> /proc/sys/net/ipv4/ip_forward
route add default gw 88.220.77.193
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j LOG
#iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -s 88.220.77.193 -d 88.220.77.194 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.254.0/24 -p tcp -m multiport ! --dport 20:21,80 -j DROP
iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.254.0/24 -p udp ! --dport 53 -j DROP
iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.254.0/24 -p tcp ! --dport 3389 -j DROP
#iptables -A INPUT -s 172.16.1.1 -d 172.16.1.0/24 -p tcp --dport 22 -j ACCEPT
router posiada cztery interfejsy pierwszy 88.220.77.194 -> na internet,
drugi to 192.168.254.253 -> na sieć 192.168.254.0/24
trzeci 172.16.1.1 -> na sieć 172.16.1.0/24
czwarty 172.16.2.1 -> 172.16.2.0/24
w sieci 192.168.254.0/24 znajduje się serwer http,dns,ftp
W chwili obecnej pozwalam na dostęp przez ssh do routera z zewnątrz przez internet przez adres 88.220.77.193
chciałbym też zezwolić sieci 172.16.1.0/24 na połaczenie ssh routerem na adres np. 172.16.1.1 - adres bramy tej sieci lub którymkolwiek interfejsem routera.
Próbowałem różnych opcji np.
iptables -A INPUT -s 172.16.1.1 -d 172.16.1.0/24 -p tcp --dport 22 -j ACCEPT ale nie działa...
Możliwe że błąd raczej banalny ale zablokowałem się tym :/
Wiem że niby mógłbym na początku dać iptables -A INPUT -p tcp --dport 22 -j ACCEPT ale następna sieć(172.16.2.0/24) ma mieć zablokowany dostęp do ssh