iptables (порт 22)

[Dick]

как разрешить соединяться по порту 22 из сети?

[Tokra]

iptables -A OUTPUT -p tcp --destination-port ssh -j ACCEPT
iptables -A INPUT -p tcp --source-port ssh -j ACCEPT
iptables -A INPUT -p tcp --destination-port ssh -j ACCEPT
iptables -A OUTPUT -p tcp --source-port ssh -j ACCEPT

Это из моего rc.firewall. Работает все ок.

[mczim]

Немножко не правильно! OUTPUT идет по udp, а не tcp

[7biohazard7]

Немножко не правильно! OUTPUT идет по udp, а не tcp

Очень сомневаюсь.
А вы случайно ssh, с ftp не путаете?

[mczim]

Прошу прощения я зарапартовался, немного не так изложил!!! Прошу еще раз прощения!

Так вот SSH использует как TCP так и UDP. Т.е. можно использовать как один протокол так и другой!

Что касаемо FTP, то он никак не может использовать UDP, потому как для FTP обязательно нужно установить коннект между клиентом и сервером, для передачи данных (FTP --это транспортный протокол), а по UDP установить коннект не возможно!

[Dick]

спасибо, пойду разбиаться

[7biohazard7]

Прошу прощения я зарапартовался, немного не так изложил!!! Прошу еще раз прощения!

Так вот SSH использует как TCP так и UDP. Т.е. можно использовать как один протокол так и другой!

Что касаемо FTP, то он никак не может использовать UDP, потому как для FTP обязательно нужно установить коннект между клиентом и сервером, для передачи данных (FTP --это транспортный протокол), а по UDP установить коннект не возможно!

Не путайте людей пож-та
вот вам специф-я
TCP/IP Port Number and Other Options
The server listens for connections on TCP/IP port 22.

The client may connect the server from any port. However, if the
client wishes to use any form of .rhosts or /etc/hosts.equiv authen-
tication, it must connect from a privileged port (less than 1024).

For the IP Type of Service field [RFC0791], it is recommended that
interactive sessions (those having a user terminal or forwarding X11
connections) use the IPTOS_LOWDELAY, and non-interactive connections
use IPTOS_THROUGHPUT.

It is recommended that keepalives are used, because otherwise pro-
grams on the server may never notice if the other end of the connec-
tion is rebooted.
Про UDP и слова нету.
Полностью можете почитать здесь - http://www.snailbook.com/docs/protocol-1.5.txt
Также рекомендую сделать
$grep ^ftp /etc/services
и подумать что это за ftp-data. И какие протоколы она может использовать.

[mczim]

Прошу прощения я зарапартовался, немного не так изложил!!! Прошу еще раз прощения!

Так вот SSH использует как TCP так и UDP. Т.е. можно использовать как один протокол так и другой!

Что касаемо FTP, то он никак не может использовать UDP, потому как для FTP обязательно нужно установить коннект между клиентом и сервером, для передачи данных (FTP --это транспортный протокол), а по UDP установить коннект не возможно!

Не путайте людей пож-та
вот вам специф-я
TCP/IP Port Number and Other Options
The server listens for connections on TCP/IP port 22.

The client may connect the server from any port. However, if the
client wishes to use any form of .rhosts or /etc/hosts.equiv authen-
tication, it must connect from a privileged port (less than 1024).

For the IP Type of Service field [RFC0791], it is recommended that
interactive sessions (those having a user terminal or forwarding X11
connections) use the IPTOS_LOWDELAY, and non-interactive connections
use IPTOS_THROUGHPUT.

It is recommended that keepalives are used, because otherwise pro-
grams on the server may never notice if the other end of the connec-
tion is rebooted.
Про UDP и слова нету.
Полностью можете почитать здесь - http://www.snailbook.com/docs/protocol-1.5.txt
Также рекомендую сделать
$grep ^ftp /etc/services
и подумать что это за ftp-data. И какие протоколы она может использовать.

Давайте не будем кричать, а посмотрим на вывод вот такой комманды!

Код: Выделить всё

grep "ssh" /etc/services

[7biohazard7]

а с чего вы взяли, что я кричу?

Хорошо у вас ssh, стоит и запушен?
сравните вывод команд:
netstat -ltn и
netstat -lun

Ну и что UDP порт открыт?
В нынешних реализация протокола ssh,
а конкретнее пакет openssh, не использует протокол UDP.
Можете ethereal проверить.
Зачем содержать лишние правила в фаерволле, навсякий случай?

[Tokra]

Я просто балдею! Если была бы ошибка в моем iptables, то я уверен, что ssh не работал бы. А так все работает! SSH - это, прежде всего, безопастная передача данных. Поэтому, об UDP не можэт быть и речи.

[mczim]

а с чего вы взяли, что я кричу?

Хорошо у вас ssh, стоит и запушен?
сравните вывод команд:
netstat -ltn и
netstat -lun

Ну и что UDP порт открыт?
В нынешних реализация протокола ssh,
а конкретнее пакет openssh, не использует протокол UDP.
Можете ethereal проверить.
Зачем содержать лишние правила в фаерволле, навсякий случай?

Да согласен что в нынешних реализациях не используется, но фаервол, ИМХО, должен быть гибким-мобильным-удобным и учитывать различные реализации различных сервисов!

[7biohazard7]

Тогда откройте все порты, это будет отвечать всем вашим требования.
И не только вашим, а тех кто будет на вашу машину залазить.
Вы мне лучше скажите с чего вы взяли что надо UDP?
Может какие-то доки есть, я бы с удовольствием посмотрел.
Просто может я чего-то не знаю?

[mczim]

Тогда откройте все порты, это будет отвечать всем вашим требования.
И не только вашим, а тех кто будет на вашу машину залазить.
Вы мне лучше скажите с чего вы взяли что надо UDP?
Может какие-то доки есть, я бы с удовольствием посмотрел.
Просто может я чего-то не знаю?

Открыть порты, и это будет отвечать моиим требованиям? А от куда вы знаете мои требования?

Для чего нужен UDP: http://www.math.ualberta.ca/imaging/snfs/

[BigKAA]

Тогда откройте все порты, это будет отвечать всем вашим требования.
И не только вашим, а тех кто будет на вашу машину залазить.
Вы мне лучше скажите с чего вы взяли что надо UDP?
Может какие-то доки есть, я бы с удовольствием посмотрел.
Просто может я чего-то не знаю?

Открыть порты, и это будет отвечать моиим требованиям? А от куда вы знаете мои требования?

Для чего нужен UDP: http://www.math.ualberta.ca/imaging/snfs/

Гм... не удержался... решил вставить свои пять копеек

Тут разговор идет про Linux? Ну наверное про него, iptables опять же Сколько работаю в Linux еще не разу не встречал, что бы shh использовал udp! Ну ни разу не видел. Зачем тогда открывать в firewall udp? Покажите мне хотя бы один клиент, который БЫ лез на ssh по udp. Плиииизззз, ну покажите... просто со страшной силой хочу его пощупать и написать автору письмо с выражением восхищения!!!

На всякий пожарный проверил свою машину (мало ли, вдруг я от жизни отстал)

# netstat -nlp | grep :22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4845/sshd
#

Где udp? Эй! ХОЧУ UDP!!! Ан нет его

Ок, если Вы в качестве референса используете содержимое файла /etc/services, тогда и почта должна ходить по 25/udp

smtp 25/tcp mail #Simple Mail Transfer
smtp 25/udp mail #Simple Mail Transfer

Вы наверное и для почты udp открываете? Прикольно

А так все работает! SSH - это, прежде всего, безопастная передача данных. Поэтому, об UDP не можэт быть и речи.

Ну почему же? Например VPN нормальные люди делают только через UDP (кроме IPSEC, у которого другой принцип). Ярчайший пример - OpenVPN.

Ах да, забыл ссылочку глянуть. NFS и NIS. Ну NIS - это полный отстой, но это другой разговор.

А для закрытия NFS лучше использовать, например все тот же OpenVPN, проще, надежнее и кросплатформенно (NFS клиенты и под винду есть).

[7biohazard7]

2mczim:
Повнимательней почитайте что там написано:
"....будет осуществляться через SSH2 тунеллирование UDP-датаграмм как описано в SSH FAQ".
UDP используется в NFS, эти пакеты и будут заворачиваться в TCP-SSH-тонель. Дальше думаю продолжать бессмысленно, человек уже давным давно получил ответ
на свой вопрос. Надеюсь вы тоже.

[mczim]

2mczim:
Повнимательней почитайте что там написано:
"....будет осуществляться через SSH2 тунеллирование UDP-датаграмм как описано в SSH FAQ".
UDP используется в NFS, эти пакеты и будут заворачиваться в TCP-SSH-тонель. Дальше думаю продолжать бессмысленно, человек уже давным давно получил ответ
на свой вопрос. Надеюсь вы тоже.

Т.е. вы убедждены в том что учитывать UDP для SSH вообще безсмысленно!?

[serg_sk]

Т.е. вы убедждены в том что учитывать UDP для SSH вообще безсмысленно!?

↑

Именно так. Политика фаервола DROP и открыт доступ на ssh только по -p tcp и все четко пашет.
Что я делаю не так?

[mczim]

Т.е. вы убедждены в том что учитывать UDP для SSH вообще безсмысленно!?

↑

Именно так. Политика фаервола DROP и открыт доступ на ssh только по -p tcp и все четко пашет.
Что я делаю не так?

Да все вы делаете так! Просто я думаю что для ssh держать открытыми порты (на каком там они у вас, у меня на 22022) для udp протокола лишним не будет!

[serg_sk]

А зачем? Если все и так работает зачем извращаться?

[mczim]

А зачем? Если все и так работает зачем извращаться?

Ну не зря же в /etc/services есть такие строки! 22/udp!!!

[shark3D]

А зачем? Если все и так работает зачем извращаться?

Ну не зря же в /etc/services есть такие строки! 22/udp!!!

В /etc/service практически для каждого протокола опасан как UDP так и TCP порт и это мало что означает.

[vidok]

Думаю, проще просто попробовать закрыть udp и проверить работу.
У меня отлично работает

[BigKAA]

Думаю, проще просто попробовать закрыть udp и проверить работу.
У меня отлично работает

Да зачем пробовать Он точно его не пользует B) скока себя повмню, никогда udp не открывал.

[admiral]

iptables -A OUTPUT -p tcp --destination-port ssh -j ACCEPT
iptables -A INPUT -p tcp --source-port ssh -j ACCEPT
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
iptables -A INPUT -p tcp --destination-port ssh -j ACCEPT
iptables -A OUTPUT -p tcp --source-port ssh -j ACCEPT

Это из моего rc.firewall. Работает все ок.

Извеняюсь за возможное ламерство - я только начал изучать линукс и сети. Но не является ли выделенная строка потенциальной дырой? Т.к. по этой строчке я могу получить доступ с 22 порта на любой порт в этой машине.

[BigKAA]

iptables -A OUTPUT -p tcp --destination-port ssh -j ACCEPT
iptables -A INPUT -p tcp --source-port ssh -j ACCEPT
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
iptables -A INPUT -p tcp --destination-port ssh -j ACCEPT
iptables -A OUTPUT -p tcp --source-port ssh -j ACCEPT

Это из моего rc.firewall. Работает все ок.

Извеняюсь за возможное ламерство - я только начал изучать линукс и сети. Но не является ли выделенная строка потенциальной дырой? Т.к. по этой строчке я могу получить доступ с 22 порта на любой порт в этой машине.

Будет. Еще какая дырища
Надо так:

Первые два правила описываются один раз на весь firewall.

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Если хочеш, что бы у тебя не подбирали пароли и не накручивали траффик, то вместо предыдущей строки можно две следующие:

iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT

[Tokra]

Да так и есть!Но без этой строки я не мог получить доступ к серваку с патти.

[BigKAA]

Да так и есть!Но без этой строки я не мог получить доступ к серваку с патти.

Не может быть. Ты где то в другом месте ошибся. Этого хватает для нормальной работы.