Mozna tez zrobic to na inny sposob zablokowac dostep do portu 22 i otworzyc tylko dla zaufanych, ja to zrobilem tak:
Plik rc.porty:
#!/bin/bash
# Skrypt blokujacy porty na swiat, jednoczesnie wpuszczajacy osoby zaufane
# Interfejs na swiat
if_net="ppp0"
i="/usr/sbin/iptables"
# Wpuszczam na port 22 dwa zewnetrzne ip
$i -A INPUT -m tcp -p tcp -s 82.160.54.106 --dport 22 -i $if_net -j ACCEPT
$i -A INPUT -m tcp -p tcp -s 82.160.54.107 --dport 22 -i $if_net -j ACCEPT
# Zamykam port 22 na swiat
$i -A INPUT -m tcp -p tcp --destination-port 22 -i $if_net -j DROP
To jest wersja skrocona pliku, ja rozszerzylem o prostego firewalla:
#!/bin/bash
# Skrypt blokujacy porty na swiat, jednoczesnie wpuszczajacy osoby zaufane
# Zmienne
if_net="ppp0"
if_siec="eth0"
#################################
# Puszczamy nastepujace porty: #
TCP_IN_ALLOW="25,53,80,83,113,110" #
UDP_IN_ALLOW="53" #
#################################
i="/usr/sbin/iptables"
#i="echo iptables"
##########################
# Otwieram dla zaufanych #
#############################################################################
# Port 22 #
$i -A INPUT -m tcp -p tcp -s 82.160.54.106 --dport 22 -i $if_net -j ACCEPT #
$i -A INPUT -m tcp -p tcp -s 82.160.54.107 --dport 22 -i $if_net -j ACCEPT #
$i -A INPUT -m tcp -p tcp -s 192.168.0.2 --dport 22 -i $if_siec -j ACCEPT #
#############################################################################
# Port 21 #
$i -A INPUT -m tcp -p tcp -s 82.160.54.106 --dport 21 -i $if_net -j ACCEPT #
$i -A INPUT -m tcp -p tcp -s 82.160.54.107 --dport 21 -i $if_net -j ACCEPT #
$i -A INPUT -m tcp -p tcp -s 192.168.0.2 --dport 21 -i $if_siec -j ACCEPT #
# Port 81 #
$i -A INPUT -m tcp -p tcp -s 192.168.0.2 --dport 81 -i $if_siec -j ACCEPT #
#############################################################################
# Przekierowuje porty
$i -t nat -A PREROUTING -i $if_net -p TCP -d 212.160.14.159 --dport 83 -j DNAT --to 192.168.0.2:80
# Otwieram uslugi na swiat
$i -A INPUT -p tcp -i $if_net -m multiport --dst 0/0 --dport $TCP_IN_ALLOW -j ACCEPT
$i -A INPUT -p udp -i $if_net -m multiport --dst 0/0 --dport $UDP_IN_ALLOW -j ACCEPT
# Otwieram uslugi na siec
$i -A INPUT -p tcp -i $if_siec -m multiport --dst 0/0 --dport $TCP_IN_ALLOW -j ACCEPT
$i -A INPUT -p udp -i $if_siec -m multiport --dst 0/0 --dport $UDP_IN_ALLOW -j ACCEPT
# Pozwalam na PING
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec
# Zamykam porty na swiat i na siec
$i -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -i $if_net -m state --state NEW -j DROP
$i -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -i $if_siec -m state --state NEW -j DROP
Zaczerpniete troche z Zciechowego firewalla, wybralem to co mi sie przydalo...
p.s Zawsze tez mozesz odpalic opensshd na innym porcie
Pozdro
Zaloguj się
Zarejestruj się
FAQ
Szukaj
. Mam regułke (iptables -A INPUT -i eth0 -p tcp -s banowane ip -j DROP) ktora dopisuje do rc.masq i banuje ip intruza ale musze robic to za kazdym razem. Zalezało by mi na skrypciku ktory -po trzykrotnym zle wpisanym haśle dodaje ip do listy banowanych.
