iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
# Port forwarding iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Åbner porte iptables -A INPUT -j ACCEPT -p tcp --dport 80 iptables -A INPUT -j ACCEPT -p tcp --dport 21 iptables -A INPUT -j ACCEPT -p tcp --dport 22
# Routing iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Slå forward til echo 1 > /proc/sys/net/ipv4/ip_forward
Hvad skriver jeg hvis jeg vil have det til at det kun er bestemte ipadresser der kan tilgå ssh servicen, hvis man kan? Kan man også gøre så det f.eks kun er bestemte ipadresser der kan køre en shutdown -h now? Hvis ikke dette kan lade sig gøre, kan man så gøre så serveren kun kan slukkes via ssh.
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
# Enable Masquerade and statefull inspection all forwarding iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Open ports on router pc for server/services iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT
# STATE RELATED for local processes on firewall machine iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Men hvad nu hvis jeg vil have mere end 1 IP adresse til at kunne tilslutte sig til port 22? Kan man så skrive: iptables -A INPUT -i eth0 -s 123.123.123.123, 145.145.145.146, 148.148.148.148 -p tcp --dport 22 -j ACCEPT?
Kan man gøre så root kun kan logge på fra bestemte IP adresser?
Husker ikke om man kan sette opp flere ip med komma mellom. Ville vel tro det. Ellers så kan man jo i alle tilfeller sette opp flere linjer under hverandre som åpner for hver sin avsender ip:
Når det gjelder iptables så må man rett og slett bare teste ut.
"Kan man gøre så root kun kan logge på fra bestemte IP adresser?"
Det vil jo virke omtrent slik. Først sjekker den for godkjent ip og hvis den er det så kan man logge på eventuelt som root.
Dette vil jo virke på en ganske sikker måte, fordi den eneste måten man kan få et svar og ellers komunikasjonen til å kjøre ved tcp, det er ved å oppgi den riktige avsender ip.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.