Почему не срабатывают настройки iptables?

Question

diman55 @diman55

Почему не срабатывают настройки iptables?

Всем привет, захотел я запретить доступ по SSH Всем кроме своего ип. В инете нашел инфу, что это можно сделать через iptables и собственно вот правила:

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s YOU IP (да тут я писал свой ип) -m tcp --dport 22 -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Стоит у меня iptables-persistent в конфигах вроде все четко сделал. По крайней мере при рестарте сервиса iptables-persistent не было [fail] но я по прежнему оставался в терминале (там где YOU IP я вводил ип своего второго VDS чтобы проверить выкинет ли меня с терминала) Так же пробовал напрямую вводить эти команды в терминал, не было никаких ошибок и я по прежнему оставался в консоли.

Знающие люди, помогите пожалуйста. Мне нужно запретить всем доступ кроме 2-3 ип.

Вопрос задан более трёх лет назад
293 просмотра

1 комментарий

Подписаться 1 Оценить 1 комментарий

Пригласить эксперта

Ответы на вопрос 2

2 комментария

krosh @krosh

Человек не смог разобраться с простыми правилами в iptables, а Вы еще усложняете ему условия. Для 2-3 адресов вполне можно обойтись без ipset.

Написано более трёх лет назад

CityCat4 @CityCat4

krosh: Как показывает практика - сначала там 2-3, потом 5-10 и т.д. Не, ну можно и без ipset:

-A INPUT -p tcp --dport 22 -s 1.2.3.4 -j ACCEPT
-A INPUT -p tcp --dport 22 -s 1.3.4.5 -j ACCEPT
...и таких правил столько сколько адресов разрешать, в -s задается IP...
-A INPUT -p tcp --dport 22 -j DROP

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Debian

Простой
Почему не работает выделение мышкой в nano?
- 1 подписчик
- вчера
- 29 просмотров
0

ответов
Debian

+1 ещё

Простой
Как установить debian 12 без флешки usb?
- 1 подписчик
- вчера
- 70 просмотров
1

ответ
Linux

+1 ещё

Простой
Как отправить письмо через mutt из терминала одной строкой?
- 1 подписчик
- 16 апр.
- 69 просмотров
1

ответ
macOS

+2 ещё

Простой
MacBook Air 13 M1 8/256, есть ли решение зависания терминала при подключении по SSH?
- 1 подписчик
- 16 апр.
- 98 просмотров
3

ответа
Debian

+1 ещё

Простой
Как автоматически расшифровывать root раздел через usb ключ?
- 1 подписчик
- 15 апр.
- 46 просмотров
0

ответов
Node.js

+1 ещё

Простой
Error during build: RollupError: Could not resolve. Как исправить ошибку?
- 1 подписчик
- 15 апр.
- 34 просмотра
1

ответ
Linux

+3 ещё

Простой
Почему jenkins видит старую версию gradle?
- 1 подписчик
- 12 апр.
- 56 просмотров
0

ответов
Ubuntu

Простой
Ubuntu не всегда срабатываю клавиши?
- 1 подписчик
- 11 апр.
- 46 просмотров
0

ответов
Linux

+2 ещё

Простой
Как исправить Key is stored in legacy trusted.gpg?
- 1 подписчик
- 11 апр.
- 74 просмотра
1

ответ
Linux

+2 ещё

Простой
Не запускается приложение в Astra Linux под учётной записью MS AD?
- 1 подписчик
- 10 апр.
- 164 просмотра
3

ответа
Показать ещё Загружается…

Middle Fullstack Developer (Laravel + Vue.js) (Contractor, Remote)

Hicaliber

от 2 500 до 3 800 $

Системный администратор

FS Travel • Москва

от 170 000 ₽

Ведущий администратор средств защиты информации

FS Travel • Москва

от 195 000 ₽

HTML -вёрстка email рассылки

18 апр. 2024, в 14:41

27000 руб./за проект

Клиент для обращения к ByBit Private Api с помощью имеющихся куков

18 апр. 2024, в 14:22

2000 руб./за проект

Развернуть сайт на WordPress

18 апр. 2024, в 14:20

3000 руб./за проект

У вас в примере нет ни одного запрещающего правила. Можно убрать два верхних правила и написать что то вроде iptables -A INPUT -p tcp -s !1.2.3.4 --dport 22 -j DROP (запретить 22 порт кроме адреса 1.2.3.4)

Answer 1 · 2017-07-28 05:50:37

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Берете доку по iptables и переводите, что написали, на русский:

Если порт назначения 22, то пакет принять. Точка Никаких условий про ограничение доступа нет.

Сделать можно например вот так (предварительно нужно поставить ipset, если не установлен, создать сет setname, где перечисляются нужные IP, например вот так:

create setname hash:ip family inet hashsize 1024 maxelem 65536 
add setname 1.2.3.4
add setname 1.3.4.5

)

-A INPUT -p tcp --dport 22 -m set --match-set setname src -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

Answer 2 · 2017-07-28 06:32:27

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s IP_ADDR -j ACCEPT
... дополнительные правила
iptables -P INPUT DROP

Почему не срабатывают настройки iptables?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт