9:17 a.m.
Pessoal boas para todos.
Estou com uma dúvida.
Estou tentando bloquear todos os acessos via SSH para o meu servidor, ahh
desabilita o ssh, infelizmente não rola porque eu preciso utilizá-lo, pelo
menos eu, então eu quero fechar pra rede e liberar apenas alguns ips.
O comando que eu to dando é:
iptables -A eth0 -p tcp -s 143.107.164.196-143.107.164.223 --dport 22 -j
DROP
Só que ta dando erro.
Eu tenho quase certeza de que é na especificação da rede porém não encontrei
um local que me explica direito como eu digo uma faixa de ips para
bloquear/liberar.
Alguém me ajuda ae?
Abraços
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
9:31 a.m.
iptables -A INPUT -p tcp -s $IP_LIBERADO --dport 22 -j ACCEPT
Note que você também pode mudar a porta padrão por outra que achar melhor
!!!
Usando o revolucionário cliente de correio do Opera:
http://www.opera.com/mail/
9:37 a.m.
Dê uma estudada nesse link <http://www.htmlstaff.org/ver.php?id=18342>você
irá dominar rapidamente as configurações do iptables
--
Marcio Kleber Torres
.--.
| o_o | +----------------------------------+
| :_ / | | Linux Registered User |
/ / \ \ | # 463046 |
( | | ) +-----------------------------------+
/ ' \_ _/ ` \
\___)=(___/ Vila Velha - ES
http://fedoraproject.org
9:43 a.m.
Fantastico.
Acho que agora vai.
obrigadão
2008/8/11 marcio torres <mkmt.es(a)gmail.com>
Dê uma estudada nesse link <http://www.htmlstaff.org/ver.php?id=18342>você
irá dominar rapidamente as configurações do iptables
--
Marcio Kleber Torres
.--.
| o_o | +----------------------------------+
| :_ / | | Linux Registered User |
/ / \ \ | # 463046 |
( | | ) +-----------------------------------+
/ ' \_ _/ ` \
\___)=(___/ Vila Velha - ES
http://fedoraproject.org
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
9:06 a.m.
Alan,
Você se esqueceu de colocar qual chain deseja inserir a regra; como você
quer bloquear acesso ao seu servidor, deve colocar as regras na chain INPUT,
que trata os pacotes de entrada.
Pra ficar mais fácil, sugiro você criar esta regra de uma forma diferente.
Vou partir do pressuposto que você está usando um script, portanto
acrescente estas linhas ao script.
*{=======================================================}*
# IPs que podem acessar o servidor via SSH
# --------------------------------------------
acesso_ssh="
143.107.164.196
143.107.164.197
143.107.164.198
143.107.164.223
"
# Permitindo acesso SSH
# --------------------------
for origem in $acesso_ssh; do
iptables -A INPUT -s $origem -i eth0 -p tcp --dport 22 -j ACCEPT
done
# Bloqueando os demais acessos SSH
# -------------------------------------
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP
*{=======================================================}*
*
*
No exemplo acima, criei uma variável acesso_ssh, que é usada em um laço
"for". Dentro desta variável existe os endereços IPs que deseja permitir
acesso ao servidor através do SSH.
Quando a variavel acesso_ssh entra no laço, é criado uma outra variável
chamada origem, para cada IP existente na variável acesso_ssh; após criar a
variável origem, é aplicada uma regra do iptables que diz que todo pacote
que entrar no firewall com origem no endereço que você determinou, pela
interface eth0, usando protocolo tcp na porta 22 ele permitirá a passagem.
Após executar esta regra para cada IP listado na variável acesso_ssh, existe
uma outra regra que vai bloquear os demais acessos SSH.
Qualquer dúvida pode perguntar!
Espero que tenha ajudado!
Atenciosamente,
_
°v°* Hugo Leonardo de Freitas*
/(_)\ Red Hat Certified Engineer (RHCE)
^ ^ TerraVista Consultoria Ltda.
www.tvconsultoria.com.br
(62) 3251-2990
2008/8/11 Alan Borim <acleber(a)gmail.com>
Pessoal boas para todos.
Estou com uma dúvida.
Estou tentando bloquear todos os acessos via SSH para o meu servidor, ahh
desabilita o ssh, infelizmente não rola porque eu preciso utilizá-lo, pelo
menos eu, então eu quero fechar pra rede e liberar apenas alguns ips.
O comando que eu to dando é:
iptables -A eth0 -p tcp -s 143.107.164.196-143.107.164.223 --dport 22 -j
DROP
Só que ta dando erro.
Eu tenho quase certeza de que é na especificação da rede porém não
encontrei um local que me explica direito como eu digo uma faixa de ips para
bloquear/liberar.
Alguém me ajuda ae?
Abraços
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
9:15 a.m.
Prezado Hugo.
Foi EXATAMENTE o que vc escreveu, nem precisei alterar muita coisa.
Esse trecho que vc me mandou eu apenas adicionei os outros ips que eu queria
habilitar e funcionou perfeitamente.
Muitissimo obrigado.
Atenciosamente
Alan Cleber
2008/8/12 Hugo Leonardo de Freitas <hugolf(a)gmail.com>
Alan,
Você se esqueceu de colocar qual chain deseja inserir a regra; como você
quer bloquear acesso ao seu servidor, deve colocar as regras na chain INPUT,
que trata os pacotes de entrada.
Pra ficar mais fácil, sugiro você criar esta regra de uma forma diferente.
Vou partir do pressuposto que você está usando um script, portanto
acrescente estas linhas ao script.
*{=======================================================}*
# IPs que podem acessar o servidor via SSH
# --------------------------------------------
acesso_ssh="
143.107.164.196
143.107.164.197
143.107.164.198
143.107.164.223
"
# Permitindo acesso SSH
# --------------------------
for origem in $acesso_ssh; do
iptables -A INPUT -s $origem -i eth0 -p tcp --dport 22 -j ACCEPT
done
# Bloqueando os demais acessos SSH
# -------------------------------------
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP
*{=======================================================}*
*
*
No exemplo acima, criei uma variável acesso_ssh, que é usada em um laço
"for". Dentro desta variável existe os endereços IPs que deseja permitir
acesso ao servidor através do SSH.
Quando a variavel acesso_ssh entra no laço, é criado uma outra variável
chamada origem, para cada IP existente na variável acesso_ssh; após criar a
variável origem, é aplicada uma regra do iptables que diz que todo pacote
que entrar no firewall com origem no endereço que você determinou, pela
interface eth0, usando protocolo tcp na porta 22 ele permitirá a passagem.
Após executar esta regra para cada IP listado na variável acesso_ssh,
existe uma outra regra que vai bloquear os demais acessos SSH.
Qualquer dúvida pode perguntar!
Espero que tenha ajudado!
Atenciosamente,
_
°v°* Hugo Leonardo de Freitas*
/(_)\ Red Hat Certified Engineer (RHCE)
^ ^ TerraVista Consultoria Ltda.
www.tvconsultoria.com.br
(62) 3251-2990
2008/8/11 Alan Borim <acleber(a)gmail.com>
> Pessoal boas para todos.
>
> Estou com uma dúvida.
>
> Estou tentando bloquear todos os acessos via SSH para o meu servidor, ahh
> desabilita o ssh, infelizmente não rola porque eu preciso utilizá-lo, pelo
> menos eu, então eu quero fechar pra rede e liberar apenas alguns ips.
>
> O comando que eu to dando é:
> iptables -A eth0 -p tcp -s 143.107.164.196-143.107.164.223 --dport 22 -j
> DROP
>
> Só que ta dando erro.
>
> Eu tenho quase certeza de que é na especificação da rede porém não
> encontrei um local que me explica direito como eu digo uma faixa de ips para
> bloquear/liberar.
>
> Alguém me ajuda ae?
>
> Abraços
> --
> Alan Cleber
> ------------------------------------------------------------------
> msn - acborim(a)hotmail.com
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
4:19 p.m.
Hugo, muito bom seu exemplo, eu não conhecia... simples, rápido... funcional
e didático
parabéns.....
--
Marcio Kleber Torres
.--.
| o_o | +----------------------------------+
| :_ / | | Linux Registered User |
/ / \ \ | # 463046 |
( | | ) +-----------------------------------+
/ ' \_ _/ ` \
\___)=(___/ Vila Velha - ES
http://fedoraproject.org
6:11 p.m.
Galera,
Eu que agradeço a oportunidade de poder ser útil, estamos aqui para isso
mesmo. Quem estiver com dificuldades ou dúvidas sobre o Iptables pode
perguntar, terei enorme prazer em poder ajudar!
Atenciosamente,
_
°v° *Hugo Leonardo de Freitas*
/(_)\ Red Hat Certified Engineer (RHCE)
^ ^ TerraVista Consultoria Ltda.
www.tvconsultoria.com.br
(62) 3251-2990
2008/8/12 marcio torres <mkmt.es(a)gmail.com>
Hugo, muito bom seu exemplo, eu não conhecia... simples, rápido...
funcional e didático
parabéns.....
--
Marcio Kleber Torres
.--.
| o_o | +----------------------------------+
| :_ / | | Linux Registered User |
/ / \ \ | # 463046 |
( | | ) +-----------------------------------+
/ ' \_ _/ ` \
\___)=(___/ Vila Velha - ES
http://fedoraproject.org
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
6:40 p.m.
Eu tambe sinceramente não tinha a minima ideia de que isso era possivel.
Vivendo e aprendendo mesmo> ja coloquei a sua dica em minhas notas :)
2008/8/12 Hugo Leonardo de Freitas <hugolf(a)gmail.com>
Galera,
Eu que agradeço a oportunidade de poder ser útil, estamos aqui para isso
mesmo. Quem estiver com dificuldades ou dúvidas sobre o Iptables pode
perguntar, terei enorme prazer em poder ajudar!
Atenciosamente,
_
°v° *Hugo Leonardo de Freitas*
/(_)\ Red Hat Certified Engineer (RHCE)
^ ^ TerraVista Consultoria Ltda.
www.tvconsultoria.com.br
(62) 3251-2990
2008/8/12 marcio torres <mkmt.es(a)gmail.com>
> Hugo, muito bom seu exemplo, eu não conhecia... simples, rápido...
> funcional e didático
> parabéns.....
>
>
> --
> Marcio Kleber Torres
>
> .--.
> | o_o | +----------------------------------+
> | :_ / | | Linux Registered User |
> / / \ \ | # 463046 |
> ( | | ) +-----------------------------------+
> / ' \_ _/ ` \
> \___)=(___/ Vila Velha - ES
> http://fedoraproject.org
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Cristiano Furtado
Gerente de TI - Projetos de Software Livre
Embaixador do Fedora no Brasil
Sites:
http://www.projetofedora.org
http://www.jasonnfedora.eti.br
http://www.fedora.org.br
http://www.ekaaty.com.br
3:56 p.m.
Caro Alan.
Não sei se entendi errado, mas se você quer bloquear todo mundo e deixar apenas estes
endereços acessarem você não poderia "DROPalos" e sim "ACCEPTalos" (me
corrija se eu estiver errado por favor). Acredito que se você negar a lógica daria certo
(veja bem eu não estou testando e sim usando a própria lógica do IpTables).
EX: iptables -A eth0 -p tcp -s ! 143.107.164.196-143.107.164.223 --dport 22 -j DROP
Veja que a utilização do "!" (NÂO) vai dizer ao IpTables (tudo o que não for os
endereços explícitados) Negue. Teste ai e posta a resposta se deu certo. Abraço e boa
sorte.
--- Em seg, 11/8/08, Alan Borim <acleber(a)gmail.com> escreveu:
De: Alan Borim <acleber(a)gmail.com>
Assunto: [Fedora-users-br] Iptables bloqueando tudo e liberando apenas alguns
Para: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Data: Segunda-feira, 11 de Agosto de 2008, 14:17
Pessoal boas para todos.
Estou com uma dúvida.
Estou tentando bloquear todos os acessos via SSH para o meu servidor, ahh desabilita o
ssh, infelizmente não rola porque eu preciso utilizá-lo, pelo menos eu, então eu quero
fechar pra rede e liberar apenas alguns ips.
O comando que eu to dando é:
iptables -A eth0 -p tcp -s 143.107.164.196-143.107.164.223 --dport 22 -j DROP
Só que ta dando erro.
Eu tenho quase certeza de que é na especificação da rede porém não encontrei um local que
me explica direito como eu digo uma faixa de ips para bloquear/liberar.
Alguém me ajuda ae?
Abraços
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara
@ymail.com ou @rocketmail.com.
http://br.new.mail.yahoo.com/addresses
6:39 a.m.
Prezado Anacleto.
Eu entendi o que você quer dizer em relação ao IPTABLES, porém a régra que
eu inseri anteriormente funcionou exatamente da forma que eu preciso então
eu vou analisar direito sobre a necessidade de alterar a regra pra essa que
você fez que, no final das contas, terá a mesma funcionalidade das que estão
funcionando atualmente.
De qualquer modo muito obrigado pela visão aplicada.
Atenciosamente
Alan Cleber
2008/8/24 Anacleto Pavao <anacletogrupavao(a)yahoo.com.br>
Caro Alan.
Não sei se entendi errado, mas se você quer bloquear todo mundo e deixar
apenas estes endereços acessarem você não poderia "DROPalos" e sim
"ACCEPTalos" (me corrija se eu estiver errado por favor). Acredito que se
você negar a lógica daria certo (veja bem eu não estou testando e sim usando
a própria lógica do IpTables).
EX: iptables -A eth0 -p tcp -s ! 143.107.164.196-143.107.164.223 --dport
22 -j DROP
Veja que a utilização do "!" (NÂO) vai dizer ao IpTables (tudo o que não
for os endereços explícitados) Negue. Teste ai e posta a resposta se deu
certo. Abraço e boa sorte.
--- Em *seg, 11/8/08, Alan Borim <acleber(a)gmail.com>* escreveu:
De: Alan Borim <acleber(a)gmail.com>
Assunto: [Fedora-users-br] Iptables bloqueando tudo e liberando apenas
alguns
Para: "Lista de discussão voltada para os usuários brasileiros do Fedora" <
fedora-users-br(a)redhat.com>
Data: Segunda-feira, 11 de Agosto de 2008, 14:17
Pessoal boas para todos.
Estou com uma dúvida.
Estou tentando bloquear todos os acessos via SSH para o meu servidor, ahh
desabilita o ssh, infelizmente não rola porque eu preciso utilizá-lo, pelo
menos eu, então eu quero fechar pra rede e liberar apenas alguns ips.
O comando que eu to dando é:
iptables -A eth0 -p tcp -s 143.107.164.196-143.107.164.223 --dport 22 -j
DROP
Só que ta dando erro.
Eu tenho quase certeza de que é na especificação da rede porém não
encontrei um local que me explica direito como eu digo uma faixa de ips para
bloquear/liberar.
Alguém me ajuda ae?
Abraços
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------
Novos endereços, o Yahoo! que você conhece. Crie um email
novo<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.new.mail.yah...
a sua cara @
ymail.com ou @rocketmail.com.
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Alan Cleber
------------------------------------------------------------------
msn - acborim(a)hotmail.com
5716
days inactive
5730
days old
br-users@lists.fedoraproject.org
10 comments
5 participants
participants (5)
-
Alan Borim -
Anacleto Pavao -
Cristiano Furtado -
Hugo Leonardo de Freitas -
marcio torres