Hi "Gordon E." schrieb:
moin!!
wir verwenden SuSE 7.3 als gateway (tdsl) für unser netzwerk. es läuft so weit auch alles zufriedenstellend, jedoch funktioniert der zugang mittels ssh nicht. wir können zwar aus dem internen netz nach draußen aber weder von innen noch von außen auf das gateway per ssh zugreifen.
Was für einen ssh-Clienten benutzt ihr überhaupt, und wie ist der konfiguriert? Insbesondere welche Ports wollen die benutzen, und sind source- und destination ports tatsächlich unterschiedlich?
wäre nett, wenn uns jemand helfen könnte.
gruß markus brettschneider
IPTABLES=/usr/sbin/iptables
EXTERN=ppp0 INTERN=eth0 INTERN2=eth1
p_high=1024:65535 p_ssh=1000:1023
Warum wird hier ein p_ssh definiert? Das kommt ja nirgends mehr vor in dem Skript.
$IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP
Ist etwas gewagt. Ich würde bei Unklarheiten erstmal mit einem Regelsatz anfangen mit policy ACCEPT und dann Regeln unten anhängen die nur die unerwünschten Pakete droppen.
#=======================================# # SSH # #=======================================# echo -n " ssh(out)... " $IPTABLES -A FORWARD -o $EXTERN -m state --state NEW \ -p TCP --sport $p_high --dport ssh \ -j ACCEPT
Passt diese Regel überhaupt auf Pakete bei ssh-Verbindungen über den router?
$IPTABLES -A INPUT -i $INTERN -p TCP --sport $p_high --dport ssh \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Oder soll hier ein --dport $p_ssh hin ?
$IPTABLES -A OUTPUT -o $INTERN -p TCP --dport $p_high --sport ssh \ -m state --state ESTABLISHED,RELATED -j ACCEPT
Oder hier ein --sport $p_ssh ?
# $IPTABLES -A INPUT -p TCP --dport ssh -j ACCEPT # $IPTABLES -A INPUT -p TCP --sport ssh -j ACCEPT # $IPTABLES -A OUTPUT -p TCP --dport ssh -j ACCEPT # $IPTABLES -A OUTPUT -p TCP --sport ssh -j ACCEPT # $IPTABLES -A INPUT -p UDP --dport ssh -j ACCEPT # $IPTABLES -A INPUT -p UDP --sport ssh -j ACCEPT # $IPTABLES -A OUTPUT -p UDP --dport ssh -j ACCEPT # $IPTABLES -A OUTPUT -p UDP --sport ssh -j ACCEPT echo "OK"
Mal abgesehen davon, dass du das schon etwas hättest kürzen können, glaube ich das die Ausgabe von iptables -L -v hilfreicher wäre. Am besten gleich iptables -L -v -n (oder du hängst deine komplette /etc/services auch noch in die mail... :-) ) Ich weiß zwar nicht wie du deine ssh-Clienten konfiguriert hast, aber ich würde mal ein paar von den auskommentierten Regeln wieder mit reinnehmen. Schau mal in die Ausgabe von iptables -L -n -v , nachdem du eine ssh-Verbindung starten wolltest. Und überprüfe, ob überhaupt irgendwelche Pakete auf diesen etwas ominösen ... -j ACCEPT Regeln, wo source- und destinationport unterschidleich sind, passen. Wenn da dann in den ersten Spalten Nullen stehen, dann sind diese Regeln falsch formuliert für deine ssh-Clienten. Für 0-8-15 ssh-Clienten in standart-Konfiguration sollten es die unteren Regeln tun. Grüsse Axel
participants (1)
-
Axel Heinrici