înregistrare Logare
Puncte:0
Nigel Wash avatar Ubuntu

Iptables care permit doar traficul de intrare către OpenSSH și blochează tot restul traficului

drapel cn
Nigel Wash

Trebuie să configurez un firewall folosind iptables care să permită doar traficul de intrare către serviciile openssh și să blocheze tot restul traficului. Știu cum să blochez tot traficul de intrare, dar nu știu cum să permit traficul de intrare doar către openssh și să blochez tot restul traficului de intrare simultan. De asemenea, am nevoie ca ssh să fie înregistrat ca „trafic ssh” și tot restul traficului blocat să fie înregistrat ca „trafic blocat”.Orice ajutor ar fi foarte apreciat.

Multumesc baieti

221
0 + 0
Puncte:1
avatar Ubuntu
drapel in
matigo

Cel mai simplu mod de a face acest lucru ar fi astfel:

  1. Deschideți terminalul (dacă nu este deja deschis)
  2. Blocați tot traficul de intrare: 
    sudo ufw implicit deny incoming
  3. Permite OpenSSH: 
    sudo ufw permit OpenSSH

Dacă conexiunile SSH vin de la un subset limitat de IP-uri, cum ar fi o rețea internă, atunci puteți limita OpenSSH la doar rețeaua locală astfel:

sudo ufw permite de la 192.168.0.0/24 la orice port 22 proto tcp

Notă: Asigurați-vă că vă schimbați 192.168.0.0 la o valoare aplicabilă rețelei.

0 + 0
Nigel Wash avatar
drapel cn
Nigel Wash
Bună @matigo este posibil să o faci fără a folosi ufw?
0
Răspunde
drapel in
matigo
Da, dar de ce să evitați `ufw`? Este doar un înveliș pentru `iptables` și face lucrurile mult mai simple...
0
Răspunde
Puncte:0
Doug Smythies avatar Ubuntu
drapel gn
Doug Smythies

Iată un script de creare a regulilor iptables:

#!/bin/sh
FWVER=0,01
#
# ask1368071 Smythies 2021.10.08 Ver:0.01
#       Vezi aici:
# https://askubuntu.com/questions/1368071/iptables-that-only-allow-incoming-traffic-to-openssh-and-block-all-other-traffic
# rulați ca sudo pe s19.
# intrări de jurnal sunt numai pentru fiecare pachet ssh NOU. Pare nerezonabil să înregistrezi fiecare pachet ssh, dar s-ar putea face.
#

echo „Se încarcă versiunea setului de reguli ask1368071 $FWVER..\n”

# Locația programului iptables
#
IPTABLES=/sbin/iptables

#Setarea interfețelor și adreselor EXTERNE și INTERNE pentru rețea
#
# Setat pentru computerul Smythies s19 (pentru testare). Editați pentru computerul lui ask1368071.
EXTIF="br0"
EXTIP="192.168.111.136"
NETWORK="192.168.111.0/24"
UNIVERS="0.0.0.0/0"

# Ștergerea oricărei configurații anterioare
# Fii atent aici. Pot face asta pe s19, dar nu știu
# despre computerul lui Nigel.
#
echo „Ștergerea oricăror reguli existente și setarea politicilor implicite..”
$IPTABLES -P INTRARE DROP
$IPTABLES -F INTRARE
$IPTABLES -P ACCEPT IEȘIRE
$IPTABLES -F IEȘIRE
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

# Ștergeți lanțurile definite de utilizator
$IPTABLES -X
# Resetați toate contoarele IPTABLES
$IPTABLES -Z
# Smythies: Deși referințele mele nu îl au, cred că este necesar.
$IPTABLES -t nat -Z

# interfețe loopback sunt valide.
#
$IPTABLES -A INTRARE -i lo -s $UNIVERS -d $UNIVERS -j ACCEPT

# Permiteți orice trafic asociat să revină pe server.
# (Nigel nu a cerut acest lucru, dar presupun că este necesar.)
$IPTABLES -A INTRARE -i $EXTIF -s $UNIVERS -d $EXTIP -m stare --stare ESTABLISHED,RELATED -j ACCEPT

# Permiteți și înregistrați noile conexiuni SSH
#
$IPTABLES -A INTRARE -i $EXTIF -m stare --stare NOU -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j LOG --log-prefix „trafic ssh:” --log-level info
$IPTABLES -A INTRARE -i $EXTIF -m stare --stare NOU -p tcp -s $UNIVERS -d $EXTIP --dport 22 -j ACCEPT

# Nu permiteți nimic altceva
# S-ar putea, de asemenea, să cadă la politica implicită aici, dar uneori se dorește și o regulă de înregistrare.
#
$IPTABLES -A INTRARE -i $EXTIF -j LOG --log-prefix „trafic blocat:” --informații la nivel de jurnal
$IPTABLES -A INTRARE -i $EXTIF -j DROP

# Terminat.
#
echo ask1368071 set de reguli versiunea $FWVER gata.

Iată o listă după ce a început o nouă sesiune ssh:

doug@s19:~/iptables/misc$ sudo iptables -xvnL
INTRARE în lanț (politica DROP 0 pachete, 0 octeți)
    pkts bytes target prot opt ​​in out source destination
       0 0 ACCEPT toate -- lo * 0.0.0.0/0 0.0.0.0/0
      66 5465 ACCEPT toate -- br0 * 0.0.0.0/0 192.168.111.136 stare RELATED,STABLISHED
       1 52 LOG tcp -- br0 * 0.0.0.0/0 192.168.111.136 stare NOU tcp dpt:22 LOG semnalizatoare 0 nivel 6 prefix „ssh traffic:”
       1 52 ACCEPT tcp -- br0 * 0.0.0.0/0 192.168.111.136 stare NOU tcp dpt:22
      18 1382 LOG all -- br0 * 0.0.0.0/0 0.0.0.0/0 LOG semnalizatoare 0 nivel 6 prefix „trafic blocat:”
      18 1382 DROP toate -- br0 * 0.0.0.0/0 0.0.0.0/0

Lanț FORWARD (politica ACCEPT 0 pachete, 0 octeți)
    pkts bytes target prot opt ​​in out source destination

IEȘIRE în lanț (politica ACCEPTĂ 56 pachete, 8793 octeți)
    pkts bytes target prot opt ​​in out source destination

Iată câteva intrări de jurnal. Opps, mi-am rupt cota de samba:

Oct 8 08:07:15 kernel s19: [249075.860342] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53951 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0x0090 ACK=820090
Oct 8 08:07:16 kernel s19: [249076.878329] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53957 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0x0090 ACK=0x0090
Oct 8 08:07:17 kernel s19: [249077.896198] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53959 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0x0090 ACK=0x0090
Oct 8 08:07:18 kernel s19: [249078.914012] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53960 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8200900
8 octombrie 08:07:19 kernel s19: [249079.931823] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53961 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8200900
8 octombrie 08:07:20 kernel s19: [249080.934176] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53962 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0x0090 ACK=0x0090
Oct 8 08:07:20 kernel s19: [249081.115999] trafic blocat:IN=br0 OUT= MAC=ff:ff:ff:ff:ff:ff:80:7d:3a:19:ea:59:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=336 TOS=0x00 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=316
Oct 8 08:07:20 kernel s19: [249081.132297] trafic blocat:IN=br0 OUT= MAC=ff:ff:ff:ff:ff:ff:80:7d:3a:19:ea:59:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=336 TOS=0x00 PREC=0x00 TTL=128 ID=1 PROTO=UDP SPT=68 DPT=67 LEN=316
8 octombrie 08:07:21 kernel s19: [249081.936134] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53964 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0x0090 ACK=0x0090
8 octombrie 08:07:22 kernel s19: [249082.938594] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53965 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8200900
Oct 8 08:07:23 s19 kernel: [249083.956556] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53966 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0x0090 ACK=0x0090
8 octombrie 08:07:24 kernel s19: [249084.958914] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53967 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8200900
8 octombrie 08:07:25 kernel s19: [249085.976907] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=53968 DF PROTO=TCP SPT=50044 DPT=445 WINDSTOW=0 RESACK=R00000
Oct 8 08:07:25 kernel s19: [249085.981353] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53969 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64040000000000
Oct 8 08:07:26 s19 kernel: [249086.985732] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53970 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64040000000000
Oct 8 08:07:28 kernel s19: [249089.005970] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53971 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64040000000000
Oct 8 08:07:32 kernel s19: [249093.012998] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53973 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=6404000 RESSY=6404000
Oct 8 08:07:35 kernel s19: [249096.205252] trafic ssh:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53974 DF PROTO=TCP SPT=61351 DPT=22 WINDOW=SYNGPRES=6424000
Oct 8 08:07:40 s19 systemd[1]: a început Sesiunea 222 a utilizatorului doug.
Oct 8 08:07:40 kernel s19: [249101.031397] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53989 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=6404000000000
Oct 8 08:07:46 kernel s19: [249107.046666] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53997 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=640400000000
Oct 8 08:07:47 s19 kernel: [249108.061299] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53998 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=640400000000
Oct 8 08:07:49 kernel s19: [249110.065547] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53999 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=640400000000
Oct 8 08:07:53 kernel s19: [249114.090375] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=54001 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64040000000000
Oct 8 08:08:01 kernel s19: [249122.092377] trafic blocat:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=54021 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64040000000000
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.