marianciuc wrote: > > Ma mincat undeva :-( si nu am asteptat replica celor care stiu, > eu sunt in cealalta parte a baricadei :-( . > Daca tot am facut-o, (se confirma ca a murit conexiunea, ) cum fac > conexiunea (ssh-ul) regula 1 in orice firewall: iptables -I INPUT -s _de_unde_se_face_administrarea -j ACCEPT
> connection tracking si cum ii stabilesc durata de expirare, ? > Ca pentru mine constat ca e utila , sa anulez timpemia ...... parca te laudasesi ca fugi la citit http://www.netfilter.org ? ideea e urmatoarea: conexiunile TCP (dintre care si ssh face parte) se realizeaza in mai multi pasi. - clientul trimite spre server un pachet de tip SYN , care incearca sa initieze conexiunea - serverul daca e de acord cu stabilirea conexiunii, raspunde cu un pachet care are setate flagurile SYN+ACK grosso modo vorbind, mecanismul de connection tracking tine minte in niste tabele fiecare conexiune in ce faza e si analizeaza pachetele relativ la situatia conexiuni[lor]. un pachet valid se poate afla in una din urmatoarele faze: - NEW (e prima oara ca apare ceva de genul asta) - ESTABLISHED - s-a realizat o conexiune si acum pahetele circula pe teava respectiva - RELATED - pachete care tin de o conexiune deja facuta, dar nu direct (spre pilda la ftp, unde exista pe portul 21 un canal de control, dar care initiaza apoi deschiderea unui nou canal de transfer de date pe alt port, care eventual poate fi 20) in cazul tau nu prea ai ce face cu connection tracking. trebuie pur si simplu sa pui regulile cam asa: iptables -s IP_UL_TAU --dport 22 -j ACCEPT iptables --dport 22 -j REJECT prima regula iti va da tie acces, a doua va bloca restul lumii -- "Normal people ... believe that if it ain't broke, don't fix it. Engineers believe that if it ain't broke, it doesn't have enough features yet." --- Scott Adams, The Dilbert Principle --- Detalii despre listele noastre de mail: http://www.lug.ro/
