Mario Oroz escribió:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hola,
Tengo en un gateway un firewall con 2 interfaces eth0(LAN) y ppp0(internet)
Las politicas son:
INPUT -> DROP
FORWARD -> DROP
OUTPUT -> ACCEPT
Necesito conectarme via ssh desde dentro de la LAN y desde el gateway a la ip
publica del gateway en la interface ppp0 de internet.
Al ver que esto quedaba muerto y daba time-out:
gate:/usr/local/bin# ssh -vvv midom.com.ar
OpenSSH_3.8 Debian, OpenSSL 0.9
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to midom.com.ar [200.17.27.58] port 22.
debug1: connect to address 200.17.27.58 port 22: Connection timed out
ssh: connect to host midom.com.ar port 22: Connection timed out
Porbé estas reglas pero no pasa nada, sigo sin conectarme:
$IPTABLES -A INPUT -i ppp0 -s $INET_IP -d $INET_IP -p tcp -m state --state NEW
- --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -o ppp0 -d $INET_IP -s $INET_IP -p tcp -m state --state NEW
- --dport 22 -j ACCEPT
Si cambio la política por defecto de INPUT -> ACCEPT logro conectarme desde el
gateway y desde los clientes en la LAN
alguien que me tire una idea...
Saludos
Mario.
Si estas desde el gateway mismo, por mas que uses la Ip externa,
utilizas lo (loopack). Por ende tenes que usar:
iptables -A INPUT -i lo -p tcp -dport 22 -j ACCEPT
Si estas desde la lan, entras por la interfaz interna. Lo mas prolijo seria
iptables -A INPUT -i eth0 -p tcp -dport 22 -j ACCEPT
y que entren por la interna. Si vos queres que igualmente usen el dns
para el ssh tenes dos opciones. Si manejas los DNS de la lan, asignar a
midominio.com.ar la ip inerna de tu gateway. Si no lo manejas o no podes
(certificados o locura aparte) necesitas una regla del tipo:
iptables -A FORWARD -i eth0 -p tcp -dport 22 -j ACCEPT
Ya que pasa de una placa a la otra. Las reglas pueden limitarse aun mas,
como han citado otros ejemplos. Creo que podes manejarlo y el problema
era un poco el concepto de las interfaces. Cualquier cosa avisa.
No es muy buena idea dejar el ssh abierto al publico gral. Si necesitas
hacerlo, al menos limita a una conexion por minuto o algo asi para
entorpecer ataque por fuerza bruta.
Contanos como anda la cosa ;)
--
Sebastian A. Dominguez
Imagen de Seba
http://odiolasllaves.com.ar
_______________________________________________
Lugro mailing list
[email protected]
http://lugro.org.ar/mailman/listinfo/lugro
