A czyż nie łatwiej jest po prostu zablokować ssh od strony netu a pozwolic na dostep tylko z wybranych IP.
Ktoś może spytać:
-A ja mam zmienne IP a chcialbym sie lączyc;
A ja odpowiem:
-Posiadanie zmienne go IP po stronie klienta nie jest tu żadnym problemem,
wiecej, nawet logowanie z kafejki inetowej nie jest problemem.
1. nalezy utworzyc konto na jakims dydndns (dotyczy kompa z ktorego się laczymy.
2. na serwerze blokujemy ssh i nastepnie:
/etc/rc.d/rc.test_ip
#!/bin/sh
. /var/state/ip/ip.test
newip=`resolveip -s costam.adres.z.dyndns.org`
if [ $oldip != $newip ]; then
echo "oldip=$newip">/var/state/ip/ip.test
/etc/rc.d/iptables restart
fi
/etc/iptables/firewall
#!/bin/sh
# firewall 0.1-2004.12.27 Zciech (poprawka w lini 113 i 49 - macieks)
#
# W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany
# ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen
# i polaczen na strone www (port 80 tcp) oraz pingi 1/s
. /etc/rc.conf
. /etc/rc.d/functions
# pobranie aktualnego adresu
. /var/state/ip/ip.test
i=`which iptables`
# Zmienne pobierane z rc.conf
.
.
.
# Neostrada zmiana MTU
#if [ $CONNECTION = "neorj" -o $CONNECTION = "neosagem" -o $CONNECTION = "neothomson" ];then
if [ "$CONNECTION" = "neorj" -o "$CONNECTION" = "neosagem" ];then
$i -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
fi
# odblokowanie adreesu z dyndns
iptables -I INPUT -s $oldip -j ACCEPT
# Blaster i Saser
$i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
$i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
.
.
.
I jeszce cron by co jakis czas sprawdzal czy adres sie nie zmienil:
*/10 * * * * /etc/rc.d/rc.test_ip >>/dev/null
_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Zaloguj się
Zarejestruj się
FAQ
Szukaj
)
