iptables - port forwarding - connection refused (vyřešeno)

Zdravím,

snažím se nastavit router k obrazu svému. Zatím mi funguje vše kromě port forwardingu. Rád bych se zvenčí (rozhraní ppp0 s veřejnou IP) dostal přes port 23 přes SSH na počítač uvnitř (rozhraní br0, adresa 192.168.1.10, SSH běží na portu 22). Bohužel při pokusu o připojení dostanu Connection refused. Poradíte mi, prosím?

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp --dport  22 -j ACCEPT
-A INPUT -p tcp --dport  80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -i br0 -p udp --dport    53 -j ACCEPT
-A INPUT -i br0 -p udp --dport 67:68 -j ACCEPT
-A INPUT -i br0 -p udp --dport  2049 -j ACCEPT
-A INPUT -j REJECT
-A FORWARD -i ppp0 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o ppp0 -j ACCEPT
-A FORWARD -p tcp -i ppp0 -d 192.168.1.10 --dport 23 -j ACCEPT
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A FORWARD -j REJECT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A PREROUTING -p tcp -i ppp0 --dport 23 -j DNAT --to-destination 192.168.1.10:22
COMMIT

ja setrim logovani a failtoban nastavenim ssh na jiny port

29.6.2015 23:18 alles32 | skóre: 15 | Evropa
Rozbalit Rozbalit vše Re: iptables - port forwarding - connection refused

ssh na jinym portu je podle me k nicemu, odradi mozna tak naky skript kiddies, kdyz to, na jakym portu co visi zjistim nmapem raz dva. kdybych bych mel nekdy problem s otevrenym sshackem, pouzil bych napriklad port knocking.

30.6.2015 09:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables - port forwarding - connection refused

To by jsi se divil kolik útoků mám na portu 22 a když jsem to přehodil na jiný tak je klid.

A další - mám několik PC co jsou za natem takže všechny mají ssh a port mám odvozen od vnitřní IP.

30.6.2015 12:49 alles32 | skóre: 15 | Evropa
Rozbalit Rozbalit vše Re: iptables - port forwarding - connection refused

zdravim

urcite netvrdim, ze mas spatne ochranenou sit a kompy.

utoku je mnoho a vubec se nedivim, sleduju auth.log a logy z fail2banu zejo. v drtivy vetsine se jedna o, z myho pohledu, neskodny slovnikovy utoky hloupych skriptu.

prijde mi vyhodnejsi zabezpecovat jednoho ssh demona dostupnyho z internetu. z nej pak pokracovat na interni masiny. odpada mi, mimo jiny, zvysena pozornost u dalsich X sshd nabizejicich dalsich X cest k pripadny penetraci a udrzba pravidel netfiltru.
http taky nenabinduju jinam jen proto, ze mi na stranky koukaj divny lidi.

joa normalne se konektim na komp dle jeho hostname, nejsem robot. ;]

1.7.2015 14:33 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: iptables - port forwarding - connection refused

ja resil ten bordel v logu a zbytecne zasahy failtoban, nerikam nikde ze jde o zabezpeceni, dobre zkonfigurovane ssh mi prijde bezpecne dostatecne... kdyz jde o domaci sit, tak si port pamatuji a je mi jedno ze neni ssh na standardnim portu... navic by se mi, sice s temer nulovou pravdepodobnosti, mohlo stat, ze bych se nemohl prihlasit ze zabanovane adresy (me se to nestalo, ale slysel jsem o tom)...

3.7.2015 09:04 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: iptables - port forwarding - connection refused

Podobne, len s tým že treba myslieť aj na dostatočne silné heslo alebo kľúč. A vypnúť filter na duplikátne správy v syslogu aby fail2ban zachytil rýchly flood.

Dotaz: iptables - port forwarding - connection refused

Odpovědi