Skocz do zawartości

Centos 6.3 Iptables I Ssh


MC'

Rekomendowane odpowiedzi

Witam, Niby banalny problem ale nie działa...Problem pojawił sie po updacie i restarcie:

cat /var/log/yum.log
Feb 10 15:20:41 Updated: tzdata-java-2012j-1.el6.noarch
Feb 10 15:20:43 Updated: tzdata-2012j-1.el6.noarch
Feb 10 15:20:44 Updated: kernel-headers-2.6.32-279.22.1.el6.i686
Feb 10 15:21:05 Updated: selinux-policy-3.7.19-155.el6_3.14.noarch
Feb 10 15:21:07 Updated: kernel-firmware-2.6.32-279.22.1.el6.noarch
Feb 10 15:21:13 Installed: kernel-2.6.32-279.22.1.el6.i686
Feb 10 15:21:24 Updated: glibc-common-2.12-1.80.el6_3.7.i686
Feb 10 15:21:30 Updated: glibc-2.12-1.80.el6_3.7.i686
Feb 10 15:21:32 Updated: glibc-headers-2.12-1.80.el6_3.7.i686
Feb 10 15:21:32 Updated: glibc-devel-2.12-1.80.el6_3.7.i686
Feb 10 15:21:33 Updated: perf-2.6.32-279.22.1.el6.i686
Feb 10 15:22:35 Updated: selinux-policy-targeted-3.7.19-155.el6_3.14.noarch
Feb 10 15:22:35 Updated: libxml2-2.7.6-8.el6_3.4.i686
Feb 10 15:22:36 Updated: nspr-4.9.2-0.el6_3.1.i686
Feb 10 15:22:36 Updated: cyrus-sasl-lib-2.1.23-13.el6_3.1.i686
Feb 10 15:22:36 Updated: nss-util-3.13.6-1.el6_3.i686
Feb 10 15:22:37 Updated: abrt-libs-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:37 Updated: libuuid-2.17.2-12.7.el6_3.i686
Feb 10 15:22:38 Updated: mysql-libs-5.1.67-1.el6_3.i686
Feb 10 15:22:38 Updated: freetype-2.3.11-14.el6_3.1.i686
Feb 10 15:22:39 Updated: mysql-5.1.67-1.el6_3.i686
Feb 10 15:22:40 Updated: libblkid-2.17.2-12.7.el6_3.i686
Feb 10 15:22:41 Updated: util-linux-ng-2.17.2-12.7.el6_3.i686
Feb 10 15:22:42 Updated: device-mapper-libs-1.02.74-10.el6_3.3.i686
Feb 10 15:22:42 Updated: device-mapper-1.02.74-10.el6_3.3.i686
Feb 10 15:22:42 Updated: device-mapper-event-libs-1.02.74-10.el6_3.3.i686
Feb 10 15:22:43 Updated: device-mapper-event-1.02.74-10.el6_3.3.i686
Feb 10 15:22:43 Updated: lvm2-libs-2.02.95-10.el6_3.3.i686
Feb 10 15:22:43 Updated: cyrus-sasl-2.1.23-13.el6_3.1.i686
Feb 10 15:22:44 Updated: nss-3.13.6-2.el6_3.i686
Feb 10 15:22:44 Updated: nss-sysinit-3.13.6-2.el6_3.i686
Feb 10 15:22:45 Updated: openssh-5.3p1-81.el6_3.i686
Feb 10 15:22:46 Updated: nss-tools-3.13.6-2.el6_3.i686
Feb 10 15:22:47 Updated: cyrus-sasl-gssapi-2.1.23-13.el6_3.1.i686
Feb 10 15:22:47 Updated: libreport-plugin-reportuploader-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:48 Updated: libreport-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:48 Updated: libreport-plugin-rhtsupport-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:48 Updated: libreport-python-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:49 Updated: abrt-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:49 Updated: abrt-addon-python-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:49 Updated: libreport-plugin-kerneloops-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:50 Updated: abrt-addon-kerneloops-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:50 Updated: libreport-plugin-mailx-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:50 Updated: abrt-tui-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:51 Updated: libreport-plugin-logger-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:51 Updated: libreport-cli-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:52 Updated: 32:bind-libs-9.8.2-0.10.rc1.el6_3.6.i686
Feb 10 15:22:52 Updated: 32:bind-utils-9.8.2-0.10.rc1.el6_3.6.i686
Feb 10 15:22:53 Updated: libtiff-3.9.4-9.el6_3.i686
Feb 10 15:22:53 Updated: 1:cups-libs-1.4.2-48.el6_3.3.i686
Feb 10 15:22:54 Updated: cpio-2.10-11.el6_3.i686
Feb 10 15:22:54 Updated: abrt-addon-ccpp-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:55 Updated: nscd-2.12-1.80.el6_3.7.i686
Feb 10 15:22:56 Updated: ipa-python-2.2.0-17.el6_3.1.i686
Feb 10 15:22:56 Updated: abrt-cli-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:56 Updated: ipa-client-2.2.0-17.el6_3.1.i686
Feb 10 15:22:57 Updated: nss-pam-ldapd-0.7.5-15.el6_3.2.i686
Feb 10 15:22:59 Updated: 1:cups-1.4.2-48.el6_3.3.i686
Feb 10 15:23:00 Updated: openssh-clients-5.3p1-81.el6_3.i686
Feb 10 15:23:02 Updated: openssh-server-5.3p1-81.el6_3.i686
Feb 10 15:23:03 Updated: cyrus-sasl-devel-2.1.23-13.el6_3.1.i686
Feb 10 15:23:03 Updated: lvm2-2.02.95-10.el6_3.3.i686
Feb 10 15:23:06 Updated: mysql-server-5.1.67-1.el6_3.i686
Feb 10 15:23:07 Updated: pango-1.28.1-7.el6_3.i686
Feb 10 15:23:14 Updated: 1:java-1.6.0-openjdk-1.6.0.0-1.54.1.11.6.el6_3.i686
Feb 10 15:23:15 Updated: 1:autofs-5.0.5-55.el6_3.i686
Feb 10 15:23:15 Updated: cyrus-sasl-plain-2.1.23-13.el6_3.1.i686
Feb 10 15:23:16 Updated: libxml2-python-2.7.6-8.el6_3.4.i686
Feb 10 15:23:16 Updated: kexec-tools-2.0.0-245.el6_3.1.i686
Feb 11 11:46:45 Installed: mongo-10gen-2.2.3-mongodb_1.i686
Feb 11 11:46:47 Installed: mongo-10gen-server-2.2.3-mongodb_1.i686
Feb 12 13:41:14 Updated: elinks-0.12-0.21.pre5.el6_3.i686

 


Otóz serwer ma ssh na porcie 2345. 1. w /etc/sshd_config Port 2345 2. reguły iptables:

 

$IPT -A INPUT  -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport $SSH_PORT -m state --state ESTABLISHED     -j ACCEPT
 

 

gdzie port ssh to 2345

 

3. SELInux też ok bo setenabled działa wszystko

 

semanage port -l | grep 2345
ssh_port_t tcp 2345, 22
 

 

 

4.

iptables -vnL
Chain INPUT (policy DROP 150 packets, 49873 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   220 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   24  1824 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2345 state NEW,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0 state RELATED,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123 state NEW 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 
    2   426 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53 dpts:1024:65535 state ESTABLISHED 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 12 packets, 720 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   220 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
   12  1536 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:2345 state ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0 state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    2   140 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 

 

5. SSHD też ok:

netstat -ntlp | grep :2345
tcp        0      0 0.0.0.0:2345                0.0.0.0:*                   LISTEN      4271/sshd           
tcp        0      0 :::2345                     :::*                        LISTEN      4271/sshd


A jak dam

 

service iptables start

to połączyć sie nie mozna po ssh.

 

service iptables stop


i mogę się połaczyc legalnie Co jest nie tak?

Odnośnik do komentarza
Udostępnij na innych stronach

Przeprowadziłeś jednocześnie update SSH, kernela i selinux-policy-targeted, więc trudno powiedzieć w czym problem.

Na Twoim miejscu kolejno:

0) Zacząłbym zabawy z firewallem i z reguł INPUT i OUTPUT skasowałbym stany (NEW, ESTABLISHED). Do tego po Twoich regułach zezwalających dodaj co sugeruje jszubiak. Jeśli coś się zaloguje, to Twoje regułki nie zezwalają ;)

1) Zabootowałbym stary kernel celem wykluczenia, że to nowy kernel rodzi problemy.

2) Wgrałbym SSH w poprzedniej wersji.

Dzięki tym krokom wyizolujesz problem.

Odnośnik do komentarza
Udostępnij na innych stronach

Ok to teraz jeszcze dziwniejsza rzecz. Otóż z domu się loguję bez problemu. Natomiast z pracy nie mogę bo... nie. Wcześniej nie było problemu. Czy wobec tego faktycznie jest sens zmieniać ssh w poprzedniej wersji lub kernel? Spróbuję dodać co daje info -j LOG podczas próby logowania z pracy.

 

Póki co mam

 

 ssh: connect to host xx:xx:xx:xx port 2345: Connection timed out
 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Ok sprawdziłem w logach faktycznie jest odrzucenie z firmowego ip Jest tam wiele firmowych IP m.in. mój.

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING  -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

 




			
		
Odnośnik do komentarza
Udostępnij na innych stronach

Ok nadal się z tym męczę. Jednak z domu teraz już też się nie łączyło.. ale Okazuję się, że ssh na porcie moim mogę się połączyc dopiero po zmianie tych regułek na:

 

 

$IPT -A INPUT  -p tcp  -j ACCEPT
$IPT -A OUTPUT -p tcp  -j ACCEPT

Czyli usunięciu sekcji state i port.

Dlaczego nagle te opcje nie działają i czy mogę to jakoś naprawić?

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...