У меня есть локальная машина в моей сети 192.168.0.30
и я ssh
над port 12121
установка в моем sshd_config
файл.
я внес изменения в iptables
:
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 12121 -j ACCEPT
/sbin/iptables -P INPUT DROP
Так что моя машина принимает только ввод от port 12121
теперь это работает, я могу подключиться к нему по ssh
На этой машине я запускаю autossh script
из service
за remote port forwarding
получить доступ извне.
Команда в моем скрипте:
/usr/bin/autossh -f -NT -o "ExitOnForwardFailure=yes" -R 20000:localhost:12121 \
-l [REMOTE-USER] [REMOTE-IP] -p 11111 -i [REMOTE-KEY]
Когда я пытаюсь подключиться, это не сработает, обычно я принимаю только 12121
в iptables
Поэтому я добавляю это в свой iptables:
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 20000 -j ACCEPT
И даже если мне это не нужно, потому что это входной порт с удаленной машины:
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 11111 -j ACCEPT
Локальный ssh работает, удаленный ssh нет.
Когда я проверяю свой сервис с помощью:
systemctl status mysshservice
я вижу все exited status codes
и restart
из сервиса и я вижу свою autossh
с моими параметрами, но я вижу вторую строку с -L
с другим портом, выбранным autossh
как 48328
так я и делаю.
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 48328 -j ACCEPT
Теперь я снова могу ssh извне.
У меня есть 2 вопроса сейчас о iptables
.
Можно ли принять службу по имени без заданного порта, например
ACCEPT ALL SSH CONNECTIONS
?, значит работает только ssh без ACCEPT
каждый PORT
я нуждаюсь.
Моя проблема в том, что удаленный порт меняется каждый день, поэтому мне приходится создавать новый ACCEPT RULES every day
.
Когда я работаю с autossh, do i need a script to grep/awk/sed
в -R and -L ports every day
или есть другое решение?
ssh iptables port служба переадресации портов
Блокчейн Офис
1 ответ
Вы можете использовать имена сервисов из /etc/services
но внутри iptables
работает с port numbers
переведено только из этого файла, так как tcp/udp
заголовки протоколов используют числа, а не строки для портов.
Более того, нет имен для всех номеров портов, так как названия служб просто условность. http://www.iana.org/assignments/номера портов
Также service name
привязан только к одному номеру порта за раз.
Он не работает так, как вы хотите.
Блокчейн Офис