[LUG.ro] Problemas con la cadena INPUT de IPTABLE...

Sebastian Dominguez sebaminguez en gmail.com
Mar Dic 15 20:46:09 ARST 2009


Mario Oroz escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola,
> Tengo en un gateway un firewall con 2 interfaces eth0(LAN) y ppp0(internet)
> Las politicas son:
> INPUT -> DROP
> FORWARD -> DROP
> OUTPUT -> ACCEPT
>
>
> Necesito conectarme via ssh desde dentro de la LAN y desde el gateway a la ip
> publica del gateway en la interface ppp0 de internet.
>
> Al ver que esto quedaba muerto y daba time-out:
>
> gate:/usr/local/bin# ssh -vvv midom.com.ar
> OpenSSH_3.8 Debian, OpenSSL 0.9
> debug1: Reading configuration data /etc/ssh/ssh_config
> debug2: ssh_connect: needpriv 0
> debug1: Connecting to midom.com.ar [200.17.27.58] port 22.
> debug1: connect to address 200.17.27.58 port 22: Connection timed out
> ssh: connect to host midom.com.ar port 22: Connection timed out
>
> Porbé estas reglas pero no pasa nada, sigo sin conectarme:
>
> $IPTABLES -A INPUT -i ppp0 -s $INET_IP -d $INET_IP -p tcp -m state --state NEW
> - --dport 22 -j ACCEPT
>
> $IPTABLES -A OUTPUT -o ppp0 -d $INET_IP -s $INET_IP -p tcp -m state --state NEW
> - --dport 22 -j ACCEPT
>
> Si cambio la política por defecto de INPUT -> ACCEPT logro conectarme desde el
> gateway y desde los clientes en la LAN
>
> alguien que me tire una idea...
>
> Saludos
> Mario.
>   
Si estas desde el gateway mismo, por mas que uses la Ip externa, 
utilizas lo (loopack). Por ende tenes que usar:

iptables -A INPUT -i lo -p tcp -dport 22 -j ACCEPT

Si estas desde la lan, entras por la interfaz interna. Lo mas prolijo seria
iptables -A INPUT -i eth0 -p tcp -dport 22 -j ACCEPT

y que entren por la interna. Si vos queres que igualmente usen el dns 
para el ssh tenes dos opciones. Si manejas los DNS de la lan, asignar a 
midominio.com.ar la ip inerna de tu gateway. Si no lo manejas o no podes 
(certificados o locura aparte) necesitas una regla del tipo:

iptables -A FORWARD -i eth0 -p tcp -dport 22 -j ACCEPT

Ya que pasa de una placa a la otra. Las reglas pueden limitarse aun mas, 
como han citado otros ejemplos. Creo que podes manejarlo y el problema 
era un poco el concepto de las interfaces. Cualquier cosa avisa.

No es muy buena idea dejar el ssh abierto al publico gral. Si necesitas 
hacerlo, al menos limita a una conexion por minuto o algo asi para 
entorpecer ataque por fuerza bruta.

Contanos como anda la cosa ;)

-- 
Sebastian A. Dominguez
Imagen de Seba
http://odiolasllaves.com.ar


Más información sobre la lista de distribución Lugro