CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede secusr Nybegynder
27. marts 2006 - 20:58 Der er 7 kommentarer og
1 løsning

Iptables: bestemt ip til bestemt service

Hej exp.

Jeg har følgende simpelt script:

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Port forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Åbner porte
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# Routing
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Slå forward til
echo 1 > /proc/sys/net/ipv4/ip_forward

Hvad skriver jeg hvis jeg vil have det til at det kun er bestemte ipadresser der kan tilgå ssh servicen, hvis man kan?
Kan man også gøre så det f.eks kun er bestemte ipadresser der kan køre en shutdown -h now?
Hvis ikke dette kan lade sig gøre, kan man så gøre så serveren kun kan slukkes via ssh.
Avatar billede langbein Nybegynder
27. marts 2006 - 23:22 #1
Jeg har ikke testkjørt noen ting, men på litt blindt øyemål:

# Flush

Ville ikke tro at det er nødvendig å flushe nat chain tre ganger, men gir den ingen feilmelding så la gå ..

-P sette policies .. ok slik kan det gjøres ..

# portforwarding

Scriptet kan ikke være komplett (??) dette kan vel ikke fungere med mindre tekststrengen tilordnes verdi ett eller annet sted:

iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE

Dette kunne vel på den annen side godt fungere:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Åpning av porter for bestemt avsender ip:

iptables -A INPUT -i eth0 -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT
Avatar billede langbein Nybegynder
27. marts 2006 - 23:27 #2
Fra min egen lokale "script generator" (men stadig uttestet):

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router pc for server/services
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Ellers:
eth0 = Internett

Kjøres:

bash <filnavn>
eth1 = lan
Avatar billede secusr Nybegynder
28. marts 2006 - 09:51 #3
Følgende linje ser ud til at kunne bruges.

iptables -A INPUT -i eth0 -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

Men hvad nu hvis jeg vil have mere end 1 IP adresse til at kunne tilslutte sig til port 22?
Kan man så skrive: iptables -A INPUT -i eth0 -s 123.123.123.123, 145.145.145.146, 148.148.148.148 -p tcp --dport 22 -j ACCEPT?

Kan man gøre så root kun kan logge på fra bestemte IP adresser?
Avatar billede langbein Nybegynder
28. marts 2006 - 17:02 #4
Husker ikke om man kan sette opp flere ip med komma mellom. Ville vel tro det.
Ellers så kan man jo i alle tilfeller sette opp flere linjer under hverandre som åpner for hver sin avsender ip:

iptables -A INPUT -i eth0 -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

Ellers så vil jeg tro at man også kan åpne for et helt nettverk, om lag 254 Pc slik:

iptables -A INPUT -i eth0 -s 123.123.123.0/255.255.255.0 -p tcp --dport 22 -j ACCEPT

Når det gjelder iptables så må man rett og slett bare teste ut.

"Kan man gøre så root kun kan logge på fra bestemte IP adresser?"

Det vil jo virke omtrent slik. Først sjekker den for godkjent ip og hvis den er det så kan man logge på eventuelt som root.

Dette vil jo virke på en ganske sikker måte, fordi den eneste måten man kan få et svar og ellers komunikasjonen til å kjøre ved tcp, det er ved å oppgi den riktige avsender ip.
Avatar billede langbein Nybegynder
28. marts 2006 - 17:10 #5
Kanskje bedre og enklere for å åpne for et avsender nettverk:

iptables -A INPUT -i eth0 -s 123.123.123.0/24 -p tcp --dport 22 -j ACCEPT

(Åpne for port 22 for alle fra nettverk no 123.123.123.0)
Avatar billede secusr Nybegynder
28. marts 2006 - 19:29 #6
Mange tak for det langbein, smidder du et svar så har jeg nemlig nogle points til dig;)
Avatar billede langbein Nybegynder
29. marts 2006 - 00:21 #7
Håper det virker .. si til hvis det ikke gjør det .. :-)
Avatar billede secusr Nybegynder
29. marts 2006 - 09:48 #8
Det skal jeg nok:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
1 min siden Chrome Af fjorbak i Andet netværk
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
I går 18:46 Kan det passe ;-) Af fjorbak i Routere & Switches
I går 15:27 Billeder kan ikke åbnes Jpeg.modd Af KristinaS i Billedbehandling
I går 13:44 eM Client Af valby i E-mail programmer
White papers
Flere white papers »


Premium
Teaser billede
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på gammel EU-aftale
Læs mere »
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
Europas største software-leverandør stryger frem på cloud-fronten – men 97 procent af overskuddet er forduftet
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Læs mere »
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Sådan gør du: Elektronisk dokumentudveksling i praksis
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »