Page 3 of 21 FirstFirst 1234513 ... LastLast
Results 31 to 45 of 310

Thread: Безопасность SSH (dropbear)

  1. #31
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    В директории /tmp появляются файлы, генерируемые динамически. Те, файлы, которые Вы отметили - самые обычные.

    nas - это конфиг для WPA/WPA-PSK

    resolv.conf - ДНС
    filter_rules - Встроенный Firewall.

    Порт 7776 и 7777 - связаны с вебкамерой. У Вас её нет, но сервис очевидно разрешён.

    Что касается траффика - тут я ничего сказать не могу. Попробуйте установить darkstat, пусть он посчитает его.

    У Вас для WiFi WEP запрещён, надеюсь?

  2. #32
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157
    Спасибо за Ваш ответ!

    Да, WEP выключен, включён WPA-PSK (c WiFi проблем нет).



    Но появился другой трабл. Ничего не изменяя в настройках, и имея ранее доступ по SSH из WAN по 22му порту, щас 22й порт вообще не отвечает, судя по telnet мой_ip 22 (ранее выводился шелл SSH), причем с домашних машин SSH к роутеру работает.

    dropbear запущен.

    Code:
    Jan  1 03:00:07 pppd[109]: Starting link
    Jan  1 03:00:07 pppd[109]: Serial connection established.
    Jan  1 03:00:07 pppd[109]: Connect: ppp0 <--> /dev/pts/0
    Jan  1 03:00:08 pptp[121]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated 
    Jan  1 03:00:08 kernel: ipt_recent v0.2.3: Stephen Frost <sfrost@snowman.net>.  http://snowman.net/projects/ipt_recent/
    Jan  1 03:00:08 dropbear[126]: Running in background
    Last edited by black_128; 23-01-2007 at 10:39.
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP

  3. #33
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Quote Originally Posted by black_128 View Post
    Спасибо за Ваш ответ!

    Да, WEP выключен, включён WPA-PSK (c WiFi проблем нет).
    Тогда всё должно быть хорошо.

    Но появился другой трабл. Ничего не изменяя в настройках, и имея ранее доступ по SSH из WAN по 22му порту, щас 22й порт вообще не отвечает, судя по telnet мой_ip 22 (ранее выводился шелл SSH), причем с домашних машин SSH к роутеру работает.

    dropbear запущен.
    Ну так может recent что-то там "химичит"? Попробуйте его отключить.

  4. #34
    а не проще ssh перевесить на нестандартный порт?

    BTW вопрос: можно ли сделать так, чтобы SSH не отдавал сертификат? т.е. чтобы кннектится можно было только с машины, на которой стоит защищенный паролем сертификат (взятый у кого-то или где-то, т.е. не полученный от ССШ)?

    BTW вопрос2: как сделать чтобы нельзя было делать SSH-Туннели через putty ? (по дефалту можно - в путти в графе tunnles. проверял - пашет.)
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!

  5. #35
    почитать доку

    ключи запуска

    -j
    Disable local port forwarding.
    -k
    Disable remote port forwarding.

  6. #36
    на стриме работает
    Code:
    iptables -t nat -I PREROUTING -i ! $3 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT 7 -i ! $3 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 600 --hitcount 4 --name SSH_ATTACKER --rsource -j DROP
    ну и код для параноиков
    Code:
    iptables -I INPUT 7 -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
    iptables -I INPUT 8 -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
    iptables -I INPUT 9 -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
    iptables -I INPUT 10 -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
    iptables -I INPUT 11 -p tcp --dport 22 -j DROP
    для доступа по ssh надо постучать на порт 1500.
    для закрытия доступа на 1499 или 1501
    стучать примерно так
    Code:
    telnet myhost 1500

  7. #37
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by alexnik View Post
    insmod ipt_recent тебе поможет.
    Для использования правила в post-firewall-е добавить эту строчку в post-boot
    Заметил, что у меня после добавления этой строки в конец post-boot не успевал подгружаться данный модуль, прежде, чем запустится post-firewall, по причине того, что до этого выполнялось еще много строк bost-boot'а и в следствие чего правила, ограничивающие доступ к ssh не прописывались. Будьте внимательны! Лучше "insmod ipt_recent" добавить в pre-boot.

  8. #38
    Join Date
    Aug 2006
    Location
    St.-Petersburg
    Posts
    22
    Для усиления паранои можно поднять stunnel и требовать проверки сертификата на порту, открываемом после схемы с стуком по доп. портам. А из stunnel по 127.0.0.1 на 22 порт.

    А серт с ключами носить с собой на КПК/флшке.
    В случае флешки регулярно вносить его в CRL после использования в темном месте и генерировать новый. =)

  9. #39
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Quote Originally Posted by shooter View Post
    Для усиления паранои можно поднять stunnel и требовать проверки сертификата на порту, открываемом после схемы с стуком по доп. портам. А из stunnel по 127.0.0.1 на 22 порт.

    А серт с ключами носить с собой на КПК/флшке.
    В случае флешки регулярно вносить его в CRL после использования в темном месте и генерировать новый. =)
    Если вы не параноик, это вовсе не значит, что за вами не следят.
    У меня тоже есть роутер!

  10. #40

    Можно ли через ftp видеть файловую систему роутера?

    В Дримбоксе удобно сделано - заходишь по ftp и видишь все файловую систему дивайса. Можно ли в Асусе видеть не внешний USB-диск, а корень файловой системы?

  11. #41
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    156

    Lightbulb ftp

    По FTP - поставить на АСУС например vsftpd и настроить соответствующим образом. И через samba по виндовой сети можно
    WL-500gP(v1, 64mb) (1.9.2.7-d-r2624 by Oleg) + 3 x USB HDD
    Работают: analog, syslog-ng, cron, samba 3, RTorrent+RuTorrent, lighttpd, vsftpd+, настроена сеть и сетевая печать

  12. #42
    Quote Originally Posted by KRandall View Post
    По FTP - поставить на АСУС например vsftpd и настроить соответствующим образом.
    А с тем ftp-сервером который изначально в прошивке Олега никак?

    Quote Originally Posted by KRandall View Post
    И через samba по виндовой сети можно
    Как?

  13. #43

    Question Проблемы с доступом из WAN к ssh (почти настроил, но!)

    Всем привет!
    Занялся настройкой dropbear. В принципе всё простно, но столкнулся с проблемой, которую не смог решить.

    Задача.
    Сделать доступным ssh из интернета, а так же из пиринговых сетей по нестандартному порту + сделать ограничение на количество попыток коннекта.

    Конфигурация.
    Интернет по VPN.
    Реальный IP адрес.
    post-boot файл с маршрутами, выданными провайдером, чтобы работала сеть и интернет одновременно.

    Текущее состояние подготовки.
    1. Диски маунтить умею
    2. Пакеты устанавливать умею
    3. Основные команды знаю
    4. с IPTables столкнулся впервые 2 дня назад, все вопросы в принципе касаются их.

    Для решения данной задачи нашёл на форуме кучу интерпретаций скрипта, описанного по данному адресу:
    http://www.sprayfly.com/wiki/SSH_Guide

    Приведу его
    Code:
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -t nat -A PREROUTING -i $1 -p tcp --dport 22 -j DNAT --to-destination $4:22
    iptables -A INPUT -j DROP
    Сам данный скрипт работает, то есть пускает по 22 порту из интернета, НО не работает из пиринговых сетей.
    Так же я так и не смог сделать так, чтобы коннект происходил по нестандартному порту, и потом перенаправлялся на 22.

    Отсюда 2 вопроса.
    1. Как сделать доступ для пиринговых сетей. Это будет так же актуально, когда я буду понимать ftp сервер.
    Насколько я понимаю за это отвечает -i $1, данная строчка обозначает интерфейс.
    http://wl500g.info/showthread.php?t=...F2%E0%EA%EE%E5 - вот тут прочитал что такое eth, vlan и т.д. На форуме в рахных интерпретациях данного скрипта использовали и ppp0 и vlan1 и $1 и т.д.
    1. Скажите пожалуйста что необходимо использовать мне, чтобы доступ был и из интернета, а так же из пиринговых сетей.
    2. Что такое $1 и $4? Нашёл что вместо $3 будет подставляться br0, но к сожалению не до конца понимаю смысл br0.

    2. Каким образом перенаправлять пакеты? То есть открыть наружу нестандартный порт, и с него сделать перенаправление на 22.
    Сделав следующие изменения, у меня был открыт 22 и 447 порты (проверял вот тут http://www.pcflank.com/scanner1.htm), и ssh работал из интернета по 22 и 447 портам (как такое может быть???), а необходимо было, чтобы извне доступ был только по 447.
    Code:
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -t nat -A PREROUTING -i $1 -p tcp --dport 447 -j DNAT --to-destination $4:22
    iptables -A INPUT -j DROP
    Если честно не совсем понимаю логику.
    Строчкой номер 2 мы открываем 22 порт по tcp протоколу. А строчкой номер 3 перенаправляем с 447 на 22. И это работает. Объясните пожалуйста. Так же непонятно следующее.
    Если в строке номер 2 22 порт заменить на 447, то тогда вообще ничего не работает, то есть даже 447 порт не доступен снаружи.
    И плюс непонятно, вот в том примере, который по ссылке http://www.sprayfly.com/wiki/SSH_Guide. Зачем сначала открывать 22 порт, а потом с него на него же перенаправлять пакеты?

    Вот пока что и все вопросы. Буду очень благодарен за помощь.
    Понятно, что уровень подготовки у меня маленький, но на форуме 2 дня поиском не прошли даром, всё таки что-то стал понимать, так же потихоньку читаю документацию по iptables, разбираюсь с синтаксисом и логикой.
    Last edited by Semkaa; 12-05-2007 at 20:06.

  14. #44
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    А нафига правило

    iptables -t nat -A PREROUTING -i $1 -p tcp --dport 22 -j DNAT --to-destination $4

    ?

  15. #45
    Quote Originally Posted by Oleg View Post
    А нафига правило
    iptables -t nat -A PREROUTING -i $1 -p tcp --dport 22 -j DNAT --to-destination $4
    ?
    Олег, честно скажу сначала я даже не знал что оно обозначает.
    Теперь понимаю, что если открывать только 22 порт то достаточно
    Code:
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -j DROP
    Вы не могли бы мне помочь с остальными вопросами?
    Спасибо.

Page 3 of 21 FirstFirst 1234513 ... LastLast

Similar Threads

  1. Внимание! Безопасность Linux-based MIPSel роутеров!
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 128
    Last Post: 12-03-2018, 15:50

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •