iptables - Problem mit Weiterleitung

[ckoepp]

Hallo zusammen,

habe ein Problem mit den iptables. Die Weiterleitung an und für sich ist kein Problem. Aber die Weiche vorher...

Ich will folgendes erreichen:
es gibt eine Liste von IP's (nicht im gleichen Netz sondern wahllos verteilt), die Zugriff auf ssh über den Standardport brauchen.

sshd selbst läuft NICHT auf dem Standardport 22 sondern auf sagen wir 99.

Jetzt sollen aber nur die IP's zugriff auf sshd haben wenn sie sich auf port 22 verbinden. Alle anderen sollen über port 99 zugreifen müssen.

Die IP des Servers auf dem sshd läuft ist 62.62.62.1

Die Idee in der Praxis:

Code: Alles auswählen

    # allow sshd from localhost, one.de and two.de
    /sbin/iptables -A INPUT -i eth0 -s 127.0.0.1 -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -s 62.62.62.1 -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -s 62.62.62.2 -p tcp --dport 22 -j ACCEPT

    # deny sshd from all
    /sbin/iptables -A INPUT -p tcp --dport 22 -j REJECT

    # route port 22 to port 30
    /sbin/iptables -A POSTROUTING -t nat -p tcp --dport 22 -j DNAT --to 62.62.62.1:99

Wo genau liegt mein Fehler? Komme nicht dahinter

[herrchen]

Wo genau liegt mein Fehler?

in der reihenfolge.
wenn du erst alle pakete auf port 22 verwirfst, sind sie weg. du kann dann nichts mehr weiterleiten.

herrchen

[gms]

DNAT ist nur in der PREROUTING und OUTPUT Kette erlaubt

Gruß
gms

[ckoepp]

Habs etwas überarbeitet, aber es geht noch nich wirklich so wie ich es haben will

Code: Alles auswählen

    # allow sshd from localhost, kmcs.de and ckoepp.de
    /sbin/iptables -A INPUT -i eth0 -s 127.0.0.1 -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -s 62.112.140.173 -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -s 62.112.156.185 -p tcp --dport 22 -j ACCEPT

    # route port 22 to port 30
    /sbin/iptables -A PREROUTING -t nat -p tcp --dport 22 -j DNAT --to-destination 62.112.140.173:30

    # deny sshd from all
    /sbin/iptables -A INPUT -p tcp --dport 22 -j REJECT

[gms]

Das DNAT in der PREROUTING Tabelle ist schon besser, allerdings nützen dir dann die ACCEPT's auf Port 22 überhaupt nichts mehr

Code: Alles auswählen

   /sbin/iptables -A INPUT -i eth0 -s 127.0.0.1 -p tcp --dport 22 -j ACCEPT 
    /sbin/iptables -A INPUT -i eth0 -s 62.112.140.173 -p tcp --dport 22 -j ACCEPT 
    /sbin/iptables -A INPUT -i eth0 -s 62.112.156.185 -p tcp --dport 22 -j ACCEPT

Diese solltest du daher auf Port 30 (oder 99) umändern.
Eine weitere Frage die sich stellt: Warum legst du den SSH Port überhaupt auf 30 (oder 99) um ? Wenn du ihn "verstecken" möchtest, macht es wenig Sinn alle Anfragen auf Port 22 auf den neuen Port umzuleiten

Gruß
gms

[ckoepp]

Das Problem ist das ich nur diese drei IP's weiterleiten möchte.

Alle Verbindungen mit einer anderen IP als Absender sollen von dieser Regel nicht betroffen sein.

Hintergrund ist das Backuptool rdiff, angeblich ist es damit nicht möglich eine Portangabe zu machen. Er connected immer auf Port 22 und da ich aus verständlichen Gründen den Port 22 nicht für sshd nutze (ein Blick in die log-files reicht - seit der Portänderung hatte ich keinen einzigen Connect-Versuch mehr von den Kiddies) habe ich damit ein Problem...

Eine Idee wie ich erreichen kann, dass diese IP's von 22 auf 30 (oder 99 oder was auch immer *gg*) weitergeleitet werden können?
Bin kein Profi in iptables, aber mein Ansatz dürfte doch richtig sein oder?

[gms]

und da ich aus verständlichen Gründen den Port 22 nicht für sshd nutze (ein Blick in die log-files reicht - seit der Portänderung hatte ich keinen einzigen Connect-Versuch mehr von den Kiddies)

das wollte ich wissen. Daher dürfen wir nicht alle Anfragen auf Port 22 zum Port 30 weiterleiten, sondern nur die von den gewünschten 3 IP's.

ungetestetes Codefragment:

Code: Alles auswählen

# route port 22 to port 30
 /sbin/iptables -A OUTPUT -t nat -p tcp -o lo -s 127.0.0.1 --dport 22 -j REDIRECT --to-ports 30
 /sbin/iptables -A PREROUTING -t nat -p tcp -i eth0 -s 62.112.140.173 --dport 22 -j REDIRECT --to-ports 30
 /sbin/iptables -A PREROUTING -t nat -p tcp -i eth0 -s 62.112.156.185 --dport 22 -j REDIRECT --to-ports 30

# allow sshd from localhost, kmcs.de and ckoepp.de 
# diese sind bereits auf Port 30 weitergeleitet, daher müssen wir auch Port 30 
# statt Port 22 durchlassen
 /sbin/iptables -A INPUT -i lo -s 127.0.0.1 -p tcp --dport 30 -j ACCEPT 
 /sbin/iptables -A INPUT -i eth0 -s 62.112.140.173 -p tcp --dport 30 -j ACCEPT 
 /sbin/iptables -A INPUT -i eth0 -s 62.112.156.185 -p tcp --dport 30 -j ACCEPT

# deny sshd from all 
 /sbin/iptables -A INPUT -p tcp --dport 22 -j REJECT
 /sbin/iptables -A INPUT -p tcp --dport 30 -j REJECT

Gruß
gms

[ckoepp]

Ahhh danke