Iptables med debian

nogen der evt. ved med sikkerhed hvilke ting der skal være inkluderet i din kerne, og hvilke man absolut ikke må tage for at det her skal funke?

Ok, det der er ikke helt godt, men det er da godt at du prøver. Det er jo sådan vi alle har lært det.
Jeg går ud fra at du sidder ved en maskine med et netkort i, som du forsøger at SSH'e ind i fra en anden maskine, ikke sandt ?
Når du SSH'er fra en anden maskine ind gennem INPUT chain, så er det destination port, som er 22, altså --dport 22. Ikke --sport. Din --dport fra den anden maskine er > 1023. Bare ignorer det.
De to sidste linier er overflødige da din OUTPUT policy er sat til ACCEPT.
Din FORWARD chain bliver ikke traverseret ( læs: gennemgået ) medmindre du har to netkort, som du router/forward'er imellem. Den kan du ignorere.
Jeg ville prøve noget i retning af :
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Så åbner du ganske vist SSH for hele Verden. Alternativt kan du indsnævre det til dit netværk med følgende forudsat dit netværk er 192.168.1.0 netmaske 255.255.255.0 :
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
Hvis dette her er mystisk er det måske fordi du mangler at læse NETWORKING-HOWTO og man iptables.

okay tak for svaret, virker dog ikke endnu!

fik selv ssh INDAD(altså udefra og til min maskine til at virke igår)
men kan stadig ikke sshé ud til en anden maskine..
har også enabled icmp, så jeg kan pinge andre maskiner, og andre kan pinge min.

Mit script :
#!/bin/bash

iptables -F

LAN_NIC='eth0'

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

##ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT

#icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT


iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


----------------------------------------------------------

den nederste linje gjorde at det virkede med ssh INDAD.

på forhånd tak :)

Fik fikset det..
problemet var at jeg manglede at åbne for nogen uprivilgerede porte

de her linjer løste det

iptables -A INPUT -p TCP -d $ANY_NET --dport 1024: -j ACCEPT
iptables -A INPUT -p UDP -d $ANY_NET --dport 1024: -j ACCEPT
iptables -A OUTPUT -p TCP -s $ANY_NET --sport 1024: -j ACCEPT
iptables -A OUTPUT -p UDP -s $ANY_NET --sport 1024: -j ACCEPT


men undrer mig nu om, at det her er en sikkerhedsbrist??

Det tør siges.
Den nederste linie åbner din INPUT chain for alle requests udefra. Hvis det er det du vil så kan du lige så godt sætte policy til ACCEPT. Jeg tror du skal nøjes med : iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT. state NEW er jo netop hvad der sker når nogen forsøger at lave forbindelse til dine services. Det burde ikke ødelægge din mulighed for at SSH'e ind i din box.
Din $LAN_NIC variabel i dit script bruges ingen steder.
Når policy på OUTPUT chain er ACCEPT, er der ingen grund til at have regler i OUTPUT.
Det med at åbne upriviligerede porte er ikke en sikkerhedsbrist hvis ikke du kører services på disse porte. Prøv med netstat -a