Можно ли с помощью IPTABLES ПРИНЯТЬ услугу по ИМЕНИ, такой как ssh, или только по ПОРТУ?

У меня есть локальная машина в моей сети 192.168.0.30 и я ssh над port 12121установка в моем sshd_config файл.

я внес изменения в iptables:

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 12121 -j ACCEPT

/sbin/iptables -P INPUT DROP

Так что моя машина принимает только ввод от port 12121 теперь это работает, я могу подключиться к нему по ssh

На этой машине я запускаю autossh script из serviceза remote port forwarding получить доступ извне.

Команда в моем скрипте:

/usr/bin/autossh -f -NT -o "ExitOnForwardFailure=yes" -R 20000:localhost:12121 \
-l [REMOTE-USER] [REMOTE-IP] -p 11111 -i [REMOTE-KEY]

Когда я пытаюсь подключиться, это не сработает, обычно я принимаю только 12121 в iptables

Поэтому я добавляю это в свой iptables:

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 20000 -j ACCEPT

И даже если мне это не нужно, потому что это входной порт с удаленной машины:

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 11111 -j ACCEPT

Локальный ssh ​​работает, удаленный ssh ​​нет.

Когда я проверяю свой сервис с помощью:

systemctl status mysshservice

я вижу все exited status codesи restart из сервиса и я вижу свою autossh с моими параметрами, но я вижу вторую строку с -L с другим портом, выбранным autossh как 48328 так я и делаю.

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 48328 -j ACCEPT

Теперь я снова могу ssh извне.

У меня есть 2 вопроса сейчас о iptables.

Можно ли принять службу по имени без заданного порта, например
ACCEPT ALL SSH CONNECTIONS ?, значит работает только ssh без ACCEPT каждый PORT я нуждаюсь.

Моя проблема в том, что удаленный порт меняется каждый день, поэтому мне приходится создавать новый ACCEPT RULES every day.

Когда я работаю с autossh, do i need a script to grep/awk/sed в -R and -L ports every dayили есть другое решение?

ssh iptables port служба переадресации портов

Блокчейн Офис

1 ответ
1

Вы можете использовать имена сервисов из /etc/services но внутри iptables работает с port numbersпереведено только из этого файла, так как tcp/udp заголовки протоколов используют числа, а не строки для портов.

Более того, нет имен для всех номеров портов, так как названия служб просто условность. http://www.iana.org/assignments/номера портов

Также service name привязан только к одному номеру порта за раз.

Он не работает так, как вы хотите.

Блокчейн Офис

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *