Heipä,
Asiakkaan koneelle piti "sallia etäkirjautuminen", jotta saadaan ko. kone varakopioitua (= rsync). Root-käyttäjäkin piti aktivoida, jotta rsync-skriptin saa ajettua rootina.
Nyt olisi tarpeen vähän rajoittaa palomuuria, jottei tulisi maailmalta sanakirjahyökkäyksiä ssh-porttiin. Ajattelin käyttää ipfw:tä, jonka hyvä puoli on, että voin laittaa palomuurin kuntoon etänä, eikä tarvitse mennä asiakkaan luo.
Varsinainen kysymykseni on, että toimiikohan tämä minimaalinen palomuuri ilman mitään haitallisia sivuvaikutuksia:
ipfw -f add 20100 allow tcp from 12.34.56.78 to any 22 in
ipfw -f add 65500 deny tcp from any to any 22 in
Tarkoitus on siis sallia yhteydenotot porttiiin 22 ip.stä 12.34.56.78, muttei mistään muualta.
- Jussi
10.5 ja IPFW-palomuuri
-
terosa
- Viestit: 441
- Liittynyt: 26.3.2008 klo 17.06
- Paikkakunta: Tampere
Re: 10.5 ja IPFW-palomuuri
Kyllä tuon pitäisi toimia. Taisi itselläkin olla sama viritys. En kyllä lyö päätäni pantiksi ettei default-policy
ole DENY. Eli joudut lisäämään tuonne vielä viimeiseksi riviksi sellaisen joka sallii kaiken. Voipi olla, että
muistan väärin, peuhannut liikaa ciscon access-listien kanssa. :-)
Lisäturvaa saat vielä /etc/hosts.allow ja .deny. Muistaakseni ompussa oli tcp-wrapperit vakiona..
ole DENY. Eli joudut lisäämään tuonne vielä viimeiseksi riviksi sellaisen joka sallii kaiken. Voipi olla, että
muistan väärin, peuhannut liikaa ciscon access-listien kanssa. :-)
Lisäturvaa saat vielä /etc/hosts.allow ja .deny. Muistaakseni ompussa oli tcp-wrapperit vakiona..
Tero <tero (dot) saari (a) spof (dot) fi>
"Only those who do nothing make no mistakes."
"Only those who do nothing make no mistakes."
-
JHirvi
- Viestit: 178
- Liittynyt: 21.6.2004 klo 16.49
Re: 10.5 ja IPFW-palomuuri
Kiitos - laitoin nyt palomuurin päälle ja tein vastaavan startup-skriptin. En usko että viitsin laittaa TCP wrapperia enää, eiköhän tuo palomuuri aja asian.
- Jussi
- Jussi
