[eside-ghost] Protegiendo el acceso mediante ssh con iptables

exar khun exar.khun.daimus en gmail.com
Mar Jun 5 10:36:31 CEST 2007 

¿Puede ser que solo aceptas paquetes de entrada con estado NEW hacia
el puerto 22 del servidor? Es decir, el iptables permite la conexión
tcp inicial, pero todo el resto ya no, porque no es NEW. ¿Quizá un
--state NEW,ESTABLISHED?

El 5/06/07, Saúl Ibarra <saghul en gmail.com> escribió:
> Hoola!
>
> Me he puesto a enredar con iptables, para lo que he habilitado una DMZ
> a una maquina de mi red. El firewall tiene por defecto una politica de
> DROP, y todas las reglas funcionan bien, pero recuerdo que lei que se
> ouede proteger el acceso por SSH 'contando' las conexiones en un
> tiempo determinado y haciendo DROP si las supera.
>
> El script me ha quedado asi:
>
> #!/bin/sh
>
> IPT="/sbin/iptables"
>
> echo "Aplicando reglas IPTables..."
>
> ## FLUSH de reglas
> $IPT -F
> $IPT -X
>
> ## Establecemos politica por defecto: DROP
> $IPT -P INPUT DROP
> $IPT -P OUTPUT DROP
> $IPT -P FORWARD DROP
>
> ## Como la polï¿œtica por defecto es DROP, tenemos que ABRIR los
> puertos que queramos.
>
> # Operar en localhost sin limitaciones
> $IPT -A INPUT -i lo -j ACCEPT
> $IPT -A OUTPUT -o lo -j ACCEPT
>
> ## Servidor Web en el puerto TCP 80
> $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
> $IPT -A OUTPUT -p tcp -m tcp --sport 80 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
>
> $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> $IPT -A OUTPUT -p tcp -m tcp --sport 22 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
>
>
> Hasta aqui todo funciona bien, pero si anyado esto:
>
> $IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> $IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
> --update --seconds 60 --hitcount 4 -j DROP
>
> Ya no puedo acceder por ssh. entonces pense que me faltaba una regla
> output y anyadi esto:
>
> $IPT -A OUTPUT -p tcp -m tcp --sport 22 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
>
>
> Pero nada... Necesito una ayudita plizz.
>
> PD: No puedo poner la enye porque estoy en un teclado americano xD.
>
>
> --
> Saúl -- "Some people say why, other just say, why not."
> ----------------------------------------------------------------
> http://www.saghul.net/
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>

Más información sobre la lista de distribución eside-ghost