Прочее - Запрет SSH к серверам, кроме как с определённых IP.

glukin · Отправлено: **22:12, 14-12-2017** | #11

Jula0071, принцип понятен, спасибо. Поясните, что такое автозабан и обвязки, плз.

Jula0071 · Отправлено: **22:36, 14-12-2017** | #12

Всё же решил проверить, поднял лабу.

Код:

root@lv70002:/home/test# cat /tmp/allowed_ssh_ip.txt
10.40.8.2/32
root@lv70002:/home/test# cat ./fw.sh
#!/bin/bash
ipset create ALLOWED_SSH hash:ip
for i in $( cat /tmp/allowed_ssh_ip.txt ) ; do ipset -A ALLOWED_SSH $i ; done
iptables -A INPUT -p tcp  --dport 22 -m set --match-set ALLOWED_SSH src -j ACCEPT
iptables -A INPUT -p tcp  --dport 22 -m set ! --match-set ALLOWED_SSH src -j DROP

root@lv70002:/home/test# ipset list

Name: ALLOWED_SSH
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 176
References: 2
Members:
10.40.8.2

root@lv70002:/home/test# iptables -nvL
Chain INPUT (policy ACCEPT 3 packets, 397 bytes)
 pkts bytes target     prot opt in     out     source               destination
  212 14756 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 match-set ALLOWED_SSH src
    2   120 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ! match-set ALLOWED_SSH src

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 117 packets, 13900 bytes)
 pkts bytes target     prot opt in     out     source               destination

Автозабан - это когда вы по ошибке включаете запрещающее правило, которое отключает вас от машины. Про обвязки я уже говорил выше.

glukin · Отправлено: **22:44, 14-12-2017** | #13

Jula0071, вроде все понятно, буду пробовать.

Jula0071 · Отправлено: **22:48, 14-12-2017** | #14

glukin, не забывайте, что это только пример, если у вас уже есть на серверах правила iptables, то скрипт всё поломает.

glukin · Отправлено: **22:54, 14-12-2017** | #15

Jula0071, А нельзя сделать так, чтобы он добавлял правила, а не перезаписывал?

Jula0071 · Отправлено: **23:02, 14-12-2017** | #16

glukin, ну тут он как раз добавляет. Но мало ли что там у вас. Нужно подходить творчески. Ещё раз про обвязки - есть скрипты обвязки для iptables, уже называл выше, я пользуюсь FireHOL. В чём плюс - синтакс гораздо более human readable, во-первых, во-вторых есть защита от дурака с автозабаном. Отредактировал я конфиг, сказал firehol try, всё заглохло - автозабанился. Но не беда, он через 30 секунд откатится на предыдущую версию конфига. Ну и 2000+ правил ручками рисовать синтаксом iptables увольте...

glukin · Отправлено: **23:07, 14-12-2017** | #17

Jula0071, автозабан, я думаю, не проблема, есть доступ к консоли вмвари. Там же не забанится локалхост?

Jula0071 · Отправлено: **23:09, 14-12-2017** | #18

Цитата glukin:

автозабан, я думаю, не проблема, есть доступ к консоли вмвари. Там же не забанится локалхост? »

Не локалхост, но не забанится.

glukin · Отправлено: **10:24, 15-12-2017** | #19

Jula0071, ну да-да, это я пошутить попытался. ))