Strona 1 z 1

Problem z odblokowaniem ssh iptables

: 30 czerwca 2015, 14:11
autor: lewozmywakk
To kod mojej zapory

Kod: Zaznacz cały

#!/bin/bash


echo "1" >> /proc/sys/net/ipv4/ip_forward


route add default gw 88.220.77.193


iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle


iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT


#iptables -A INPUT -p tcp --dport 22 -j LOG


#iptables -A INPUT -p tcp --dport 22 -j DROP


iptables -A INPUT -s 88.220.77.193 -d 88.220.77.194 -p tcp --dport 22 -j ACCEPT


iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.254.0/24 -p tcp -m multiport ! --dport 20:21,80 -j DROP
iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.254.0/24 -p udp ! --dport 53 -j DROP
iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.254.0/24 -p tcp ! --dport 3389 -j DROP


#iptables -A INPUT -s 172.16.1.1 -d 172.16.1.0/24 -p tcp --dport 22 -j ACCEPT


mały opis sieci:
router posiada cztery interfejsy pierwszy 88.220.77.194 -> na internet,
drugi to 192.168.254.253 -> na sieć 192.168.254.0/24
trzeci 172.16.1.1 -> na sieć 172.16.1.0/24
czwarty 172.16.2.1 -> 172.16.2.0/24

w sieci 192.168.254.0/24 znajduje się serwer http,dns,ftp

W chwili obecnej pozwalam na dostęp przez ssh do routera z zewnątrz przez internet przez adres 88.220.77.193
chciałbym też zezwolić sieci 172.16.1.0/24 na połaczenie ssh routerem na adres np. 172.16.1.1 - adres bramy tej sieci lub którymkolwiek interfejsem routera.
Próbowałem różnych opcji np.
iptables -A INPUT -s 172.16.1.1 -d 172.16.1.0/24 -p tcp --dport 22 -j ACCEPT ale nie działa...
Możliwe że błąd raczej banalny ale zablokowałem się tym :/

Wiem że niby mógłbym na początku dać iptables -A INPUT -p tcp --dport 22 -j ACCEPT ale następna sieć(172.16.2.0/24) ma mieć zablokowany dostęp do ssh

: 30 czerwca 2015, 14:19
autor: pawkrol

Kod: Zaznacz cały

iptables -A INPUT -s 172.16.1.0/24 -d 172.16.1.1 -p tcp --dport 22 -j ACCEPT

: 01 lipca 2015, 23:47
autor: lewozmywakk
wielkie dzięki