Keresés: - TP-Link WR1043ND router - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2023-12-13 05:20

Fototrend

TP-Link WR1043ND - N450 router

Új hozzászólás Aktív témák

#25172 vargalex Topikgazda sto1911 #25164

Új Válasz 2012-04-05 10:35:11 #25172
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

vargalex

Topikgazda

válasz sto1911 #25164 üzenetére

Még annyi, hogy ha te kívülről is a 22-es porton szeretnéd, akkor a /etc/firewall.user-ben (LuCI-ban Network->Firewall->Custom Rules)-ban az SSH Brute Force protection-hoz tartozó PROTECTEDPORT-ot írd át 22-re, majd indítsd újra a tűzfalat.
#25169 vargalex Topikgazda sto1911 #25164

Új Válasz 2012-04-05 10:22:41 #25169
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

vargalex

Topikgazda

válasz sto1911 #25164 üzenetére

Hi!
Igen, a dropbear (SSH daemon) valóban úgy van config-olva, hogy a 22-es porton hallgasson. Az, hogy kívülről a 2222-es porton legyen elérhető, tűzfal szabályokkal szabályokkal oldottam meg, azért, hogy ne kelljen külön dropbear példányt futtatni. Illetve ezen a porton Brute Force támadás elleni védelem is megvalósításra került.
Az ezt végző tűzfal szabályok:
/etc/config/firewall-ban (LuCI-ban Network->Firewall->Traffic Rules):
config 'rule' option 'target' 'ACCEPT' option '_name' 'ssh_WAN' option 'src' 'wan' option 'proto' 'tcp' option 'dest_ip' '192.168.1.1' option 'dest_port' '22'
Ez ugye annyit csinál, hogy a WAN oldalról a 192.168.1.1-es IP 22-es portjára irányuló forgalmat engedélyezi (ez átirányítás nélkül nem lehetséges, mert kívülről nem megcímezhető a 192.168.1.1).
Illetve hozzá tartozóan a /etc/firewall.user-ben (Luci-ban Network->Firewall->CustomRules
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination 192.168.1.1:$SERVICEPORT iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination 192.168.1.1:$BRUTEFORCE_DROPPORT iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "
Ez forwardolja a WAN oldalra 2222-es portra érkező kérést a 192.168.1.1 22-es portjára, miközben figyeli a próbálkozások számát. A megadott küszöbérték elérésekor egy nem használt (DROP-olt) portra irányítja és logol.
#25165 kbhuinfo tag sto1911 #25164

Új Válasz 2012-04-05 09:30:36 #25165
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

kbhuinfo

tag

válasz sto1911 #25164 üzenetére

Mivel a lease time és mac összerendelés elég szigorú itt, ezért várnom kell délig, hogy teszteljek...
Este jön a szerelő, remélem hoz modemet magával.
Köszi a választ, majd jelzem, hogy mi az eredmény kb. 13:00 körül!
Üdv,
Balázs