|
Роутер, iptables и сервис на нестандартном порту
|
||
|---|---|---|
Участник
Откуда: Тюмень
Сообщения: 1 395 |
||
| 27.09.2009, 00:59 |
|
|
|
|
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
Есть linux-box, использующийся как роутер. Имеется желание изменить стандартный порт сервиса ssh на внешнем интерфейсе на какой-нибудь 23456, но оставить возможность подключаться с внутреннего на стандартный, при этом не изменяя конфиг самого sshd, а обойтись только перенаправлением портов. Перенаправляется порт отлично, но вот заблокировать коннект на стандартный не получается - блокируется и коннект на перенаправленный. Если кто решал подобную задачу, поделитесь, как вы это делали. Или в рамках оговоренных условий (не правя конфиг sshd) это невозможно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.09.2009, 10:09 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
В моей душе осадок зла, Как я понял тебе нужен redirect. При обращении к порту 1234 (нестандартый SSH) перенаправить на порт 22. Читай здесь: http://www.opennet.ru/docs/RUS/iptables/ 6.5.9. Действие REDIRECT Выполняет перенаправление пакетов и потоков на другой порт той же самой машины. К примеру, можно пакеты, поступающие на HTTP порт перенаправить на порт HTTP proxy. Действие REDIRECT очень удобно для выполнения "прозрачного" проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси. REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и вышеуказанных. Для действия REDIRECT предусмотрен только один ключ. Таблица 6-20. Действие REDIRECT Ключ --to-ports Пример iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 Описание Ключ --to-ports определяет порт или диапазон портов назначения. Без указания ключа --to-ports, перенаправления не происходит, т.е. пакет идет на тот порт, куда и был назначен. В примере, приведенном выше, --to-ports 8080 указан один порт назначения. Если нужно указать диапазон портов, то мы должны написать нечто подобное --to-ports 8080-8090. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.09.2009, 15:31 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
Alex_Bratsk Не все так просто. REDIRECT используется. Вопрос - как заблокировать стандартный порт. Если я тупо пишу Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.09.2009, 22:04 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
проверил , так работает Код: plaintext 1. 2. 3. А я решил наружу ssh вообще невыкладывать, до рутера лежит шифрованый тунель, по нему и ходим ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.09.2009, 00:59 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
sanek842 Работает. Спасибо огромное. О таком применении цепочки PREROUTING я и не думал. Надо будет поизучать поподробнее. 2All: если есть еще варианты - рассмотрю с удовольствием. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.09.2009, 18:26 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
sanek842 Это домашний роутер, и заморачиваться на шифрованные туннели смысла нет - не таскать же ноут с vpn клиентом за собой, чтобы настраивая очередной комп, добраться до домашнего ftp-сервера - я его открываю по надобности. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.09.2009, 18:31 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
On Sun, 27 Sep 2009 23:26:45 +0800, В моей душе осадок зла <nospam@sql.ru>; wrote: > 2All: если есть еще варианты - рассмотрю с удовольствием. > Тема Ответить Сообщение А вот такая идея не подойдёт?? # rpm -qf /etc/ssh/sshd_config openssh-server-4.3p2-29.el5 # grep -i port /etc/ssh/sshd_config Port 22 Port 2332 И пусть слушает обеими портами, а рулить ими по отдельности через iptables?? -- Остаюсь искренне Ваш, Станислав Сухолёт Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.09.2009, 05:30 |
|
||
|
Роутер, iptables и сервис на нестандартном порту
|
|||
|---|---|---|---|
|
#18+
SSukholet Изначально примерно так и было. Более того - достаточно только одного нестандартного порта - с внутренней сетки 22 порт редиректился на нестандартный. Но эта идея потребует реконфигурации sshd в случае, если по каким-либо причинам потребуется сменить нестандартный порт. Конечно, с учетом авторЭто домашний роутер, и заморачиваться на шифрованные туннели смысла нет наплевать, но хочется сделать грамотно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.09.2009, 09:02 |
|
||
|
|
start [/forum/topic.php?fid=25&tid=1485459]: |
0ms |
get settings: |
7ms |
get forum list: |
19ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
157ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
38ms |
get tp. blocked users: |
1ms |
| others: | 209ms |
| total: | 448ms |
| 0 / 0 |
