Ayuda con ssh
fernando villarroel
bbddlinux en yahoo.es
Sab Mar 6 18:30:41 CLST 2004
Hola aqui les envio el script de mi Firewall ;
tengo el problema
que no logro conectarme remotamente mediante SSH;
Otra consulta si borro la linea del FORWARD que dice
/sbin/iptables -A FORWARD -i eth1 -j ACCEPT
no logro que los equipos de mi intranet salgan a
internet. Esta bien esa linea?
El servidor www funciona bien.
#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -F INPUT
iptables -P INPUT DROP
iptables -F OUTPUT
iptables -P OUTPUT ACCEPT
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j
ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24
-o ppp0 -j MASQUERADE
/sbin/iptables -A INPUT -i ppp0 -p ICMP --icmp-type 8
-j DROP
/sbin/iptables -A INPUT -p TCP -s 192.168.0.0/16 -j
DROP
/sbin/iptables -A INPUT -p TCP -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -p TCP -s 172.16.0.0/12 -j
DROP
/sbin/iptables -A INPUT -p UDP -s 192.168.0.0/16 -j
DROP
/sbin/iptables -A INPUT -p UDP -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -p UDP -s 172.16.0.0/12 -j
DROP
/sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p tcp
--dport 22 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -i ppp0
-p TCP --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.4 -i eth1 -p tcp
--dport www -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.4 -i eth1 -p tcp
--dport ssh -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.4 -i eth1 -p udp
--dport ssh -j ACCEPT
/sbin/iptables -A INPUT -p TCP -m state --state NEW !
--syn -j DROP
/sbin/iptables -A allowed-tcp-packets -i ppp0 -p TCP
-j DROP
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p
TCP --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state
ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p TCP -m state --state NEW
! --syn -j DROP
/sbin/iptables -A FORWARD -i eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state NEW -o ppp0
-p TCP --dport 25 -j ACCEPT
woody:/etc/network#
Otra cosa en hosts.allow tengo
sshd: ALL
Bueno espero vuestra ayuda gracias.
Fernando Villarroel N
--- "Iván_Lizana_S." <ils en atlasparts.cl> escribió: >
supongo que tienes algo como esto:
> $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j
> allowed
> mejor manda lo que tienes, otra cosa, la ubicacion
> de cada linea en tu
> scrip es importante, una regla te puede cerrar otra
>
> fernando villarroel wrote:
> > Hola mi consulta es la siguiente, tengo una
> debian
> > woody con ssh corriendo; funciona como servidor
> web,
> > además de tener el servicio ssh corriendo, por
> otro
> > lado en iptables dropeo todo, pero tengo una regla
> que
> > acepta cualquier conexion ssh desde cualquier
> fuente,
> > el problema es que he tratado probando desde un
> > cibercafe conectarme con putty como cliente, pero
> > aunque me conecte con el numero de ip o con el
> dominio
> > me sale un error:
> >
> > Network error, time out.
> >
> > Agradecere vuestras sugerencias.
> >
> > Fernando Villarroel N
> >
> >
> ___________________________________________________
> > Yahoo! Messenger - Nueva versión GRATIS
> > Super Webcam, voz, caritas animadas, y más...
> > http://messenger.yahoo.es
> >
>
___________________________________________________
Yahoo! Messenger - Nueva versión GRATIS
Super Webcam, voz, caritas animadas, y más...
http://messenger.yahoo.es
Más información sobre la lista de distribución Linux