[gelöst] iptables-Regel: ssh, Ports > 1024

[mario.neudeck]

Hallo,
ich habe im iptables-Skript folgende Regel, die mir ausgehende Verbindungen auf den ssh-Port 22 zuläßt:

Code: Alles auswählen

iptables -A OUTPUT -o $IFACE_EXT -p TCP --sport 1024: --dport 22 -j ACCEPT

Wenn ich die Regel kommentiere komme ich nicht mehr raus.
Ich habe ssh jetzt auf den Port 1234 umgelegt. Es gelingt mir jedoch nicht, für Port per iptables freizugeben/zu sperren. Die Regel ist die gleiche, jedoch nur für Port 1234:

Code: Alles auswählen

iptables -A OUTPUT -o $IFACE_EXT -p TCP --sport 1024: --dport 1234 -j ACCEPT

Hier ist es jetzt aber egal, ob ich die Regel kommentiere, ich komme trotzdem per ssh -p 1234 raus. Das will ich aber verhindern. Setzte ich anstelle des ACCEPT ein DROP, dann funktioniert die Regel (was natürlich quatsch ist).

Kann es sein, das mir irgendwas die Ports >1024 immer zuläßt? Bei Port 22 Sperre ich den Port, indem ich die Regel kommentiere, wieso funktioniert das nicht für den Port 1234?
-Mario

[gms]

Kann es sein, das mir irgendwas die Ports >1024 immer zuläßt?

dafür dürfte die Regel in der Zeile 241 verantwortlich sein:

Code: Alles auswählen

	iptables -A OUTPUT -o $IFACE_EXT -p TCP \
		--sport 1024: --dport 1024: \
		-j ACCEPT
 

Gruß
gms

[mario.neudeck]

Sorry, hat bischen gedauert. Es geht um den Abschnitt ssh nach 2244, wenn ich den kommentiere, komme ich immer noch raus. ssh auf 22 kommentiert funktioniert aber.
http://nopaste.debianforum.de/4794

[herrchen]

Es geht um den Abschnitt ssh nach 2244, wenn ich den kommentiere, komme ich immer noch raus.

du hast unter "FTP" folgende regel:

Code: Alles auswählen

#
iptables -A OUTPUT -o $IFACE_EXT -p TCP --sport 1024: --dport 1024: -j ACCEPT

herrchen

[gms]

habe aus versehen obigen Beitrag editiert
herrchen hatte aber schon die richtige Lösung

Gruß
gms

[mario.neudeck]

Ihr seid Helden und ich mit Blindheit geschlagen.
Vielen Dank und alles gute im neuen Jahr.
-Mario