iptables dovrebbe bloccare ssh, ma la porta è ancora aperta

0

Sto cercando di ottenere il servizio di port knocking lavorando sul mio raspberry pi. Ho modificato le mie regole di iptables per bloccare il traffico in entrata, ma posso ancora scrivere ssh nel mio macbook. Non dovrei essere in grado di farlo, se sto capendo correttamente le regole di iptables.

Il mio Pi in realtà ha bloccato momentaneamente ssh quando ho testato la mia configurazione di iptables. Ma dopo aver installato knockd e avviato il servizio, posso ssh senza problemi di nuovo .... anche se questo è l'opposto di ciò che dovrebbe accadere.

dal mio pi: 

sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination




nano /etc/iptables/rules.v4
# Generated by iptables-save v1.4.21 on Wed May  4 23:53:23 2016
*filter
:INPUT DROP [469:58510]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1788:276430]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Wed May  4 23:53:23 2016

Dal mio macbook, dopo aver chiuso la sessione in modo che non avrebbe colpito il ESTABLISHED regola 

ssh user@pi.local
user@pi.local's password:
# enter password and it logs me in

MODIFICARE

In realtà, nessuna delle mie regole di iptables viene rispettata. Ho bloccato letteralmente tutto e ancora ottengo il prompt per accedere a ssh; Ottengo anche la pagina di indice Apache bullcrap dal server quando vado a quell'IP nel browser. 

sudo iptables -F
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination

In procinto di calciare un bambino ...

linux  networking  ssh  firewall  iptables 
smilebomb
fonte
aggiungere la regola dalla catena di input alla catena di forward e inoltrare a drop. Il traffico potrebbe attraversare la catena del futuro.
cybernard
@cybernard che ho aggiornato FORWARD a DROP e il problema persiste. Ho anche pam installazione nella mia ssh config se questo è importante ...
smilebomb
hai anche aggiunto: -A FORWARD -m conntrack --ctstate RELATED, ESTABLISHED -j ACCEPT -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
cybernard
@cybernard No, non l'ho fatto, ma posso lavorare su iptables accettando il traffico dopo averlo bloccato per bloccare il traffico.
smilebomb
provare -A INPUT -j DROP per vedere se l'impostazione della politica funziona. Come l'ultima regola.
cybernard
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.