Mein Server steht hinter einem Router. ssh soll für einige ausgewählte Netze über das Internet erlaubt sein. Dazu habe ich mir folgendes Script ausgedacht.
Ist das so in Ordnung, oder ist da etwas fundamental falsch. Ich möchte die SUSE-Firewall für diesen Zweck nicht benutzen, weil die internen Dienste wie nfs, nis, samba, ipp, ..., durch den Router ohnehin geschützt sind. Es geht nur um die durch den Router geleiteten Ports 22 und 6222.
Code:
# Generated by iptables-save v1.3.3 on Tue Jun 6 11:07:07 2006
*filter
:INPUT ACCEPT [39:4090]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1203:146100]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s a.b.c.d/255.255.254.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 6222 -j ACCEPT
-A INPUT -s a.b.c.d/255.255.254.0 -i eth0 -p tcp -m tcp --dport 6222 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m limit --limit 3/min -m state --state NEW -m tcp --dport 6222 -j LOG --log-prefix "iptables ssh-6222 denied: " --log-level 7
-A INPUT -p tcp -m limit --limit 3/min -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "iptables ssh-22 denied: " --log-level 7
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 6222 -j DROP
COMMIT
# Completed on Tue Jun 6 11:07:07 2006Ist das so in Ordnung, oder ist da etwas fundamental falsch. Ich möchte die SUSE-Firewall für diesen Zweck nicht benutzen, weil die internen Dienste wie nfs, nis, samba, ipp, ..., durch den Router ohnehin geschützt sind. Es geht nur um die durch den Router geleiteten Ports 22 und 6222.
=> http://www.framp.de/linux/