[LUG.ro] Problemas con la cadena INPUT de IPTABLE...
Sebastian Dominguez
sebaminguez en gmail.com
Mar Dic 15 20:46:09 ARST 2009
Mario Oroz escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola,
> Tengo en un gateway un firewall con 2 interfaces eth0(LAN) y ppp0(internet)
> Las politicas son:
> INPUT -> DROP
> FORWARD -> DROP
> OUTPUT -> ACCEPT
>
>
> Necesito conectarme via ssh desde dentro de la LAN y desde el gateway a la ip
> publica del gateway en la interface ppp0 de internet.
>
> Al ver que esto quedaba muerto y daba time-out:
>
> gate:/usr/local/bin# ssh -vvv midom.com.ar
> OpenSSH_3.8 Debian, OpenSSL 0.9
> debug1: Reading configuration data /etc/ssh/ssh_config
> debug2: ssh_connect: needpriv 0
> debug1: Connecting to midom.com.ar [200.17.27.58] port 22.
> debug1: connect to address 200.17.27.58 port 22: Connection timed out
> ssh: connect to host midom.com.ar port 22: Connection timed out
>
> Porbé estas reglas pero no pasa nada, sigo sin conectarme:
>
> $IPTABLES -A INPUT -i ppp0 -s $INET_IP -d $INET_IP -p tcp -m state --state NEW
> - --dport 22 -j ACCEPT
>
> $IPTABLES -A OUTPUT -o ppp0 -d $INET_IP -s $INET_IP -p tcp -m state --state NEW
> - --dport 22 -j ACCEPT
>
> Si cambio la política por defecto de INPUT -> ACCEPT logro conectarme desde el
> gateway y desde los clientes en la LAN
>
> alguien que me tire una idea...
>
> Saludos
> Mario.
>
Si estas desde el gateway mismo, por mas que uses la Ip externa,
utilizas lo (loopack). Por ende tenes que usar:
iptables -A INPUT -i lo -p tcp -dport 22 -j ACCEPT
Si estas desde la lan, entras por la interfaz interna. Lo mas prolijo seria
iptables -A INPUT -i eth0 -p tcp -dport 22 -j ACCEPT
y que entren por la interna. Si vos queres que igualmente usen el dns
para el ssh tenes dos opciones. Si manejas los DNS de la lan, asignar a
midominio.com.ar la ip inerna de tu gateway. Si no lo manejas o no podes
(certificados o locura aparte) necesitas una regla del tipo:
iptables -A FORWARD -i eth0 -p tcp -dport 22 -j ACCEPT
Ya que pasa de una placa a la otra. Las reglas pueden limitarse aun mas,
como han citado otros ejemplos. Creo que podes manejarlo y el problema
era un poco el concepto de las interfaces. Cualquier cosa avisa.
No es muy buena idea dejar el ssh abierto al publico gral. Si necesitas
hacerlo, al menos limita a una conexion por minuto o algo asi para
entorpecer ataque por fuerza bruta.
Contanos como anda la cosa ;)
--
Sebastian A. Dominguez
Imagen de Seba
http://odiolasllaves.com.ar
Más información sobre la lista de distribución Lugro