[[lehrgaenge:linux:index|Linux]]
===== SSH =====
Einen anderen Port verwenden auf Servermaschine in\\
/etc/ssh/sshd_config\\
Port 22 auf Port 2222 ändern
Auf Clientmaschine\\
mit ssh -p 2222 kit@192.168.6.30 zugreifen oder
.ssh/config anlegen
host 192.168.6.30
hostname 192.168.6.30
protocol 2
port 2222
IdentityFile ~/.ssh/id_rsa
===== Firewall =====
Route auf Debian vor Eintrag
root@host10:~# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.6.0 * 255.255.255.0 U 0 0 0 br0
192.168.80.0 * 255.255.255.0 U 0 0 0 vmnet8
192.168.247.0 * 255.255.255.0 U 0 0 0 vmnet1
default 192.168.6.254 0.0.0.0 UG 0 0 0 br0
root@host10:~# route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.6.30
Nach Eintrag
root@host10:~# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.6.0 * 255.255.255.0 U 0 0 0 br0
192.168.80.0 * 255.255.255.0 U 0 0 0 vmnet8
192.168.247.0 * 255.255.255.0 U 0 0 0 vmnet1
10.10.10.0 192.168.6.30 255.255.255.0 UG 0 0 0 br0
default 192.168.6.254 0.0.0.0 UG 0 0 0 br0
root@host10:~#
Permanent:\\
/etc/network/interfaces:
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo br0
iface lo inet loopback
iface br0 inet static
address 192.168.6.10
netmask 255.255.255.0
gateway 192.168.6.254
bridge_ports eth0 tap0
pre-up tunctl -t tap0 -u kit
bridge_stp on
bridge_maxwait 2
up route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.6.30 br0
Auf suse Routing einstellen:
echo > 1 /proc/sys/net/ipv4/ip_forward
für dauerhafte Einstellung:
/etc/sysconfig/sysctl
IP_FORWARD="yes"
Temporäre Route zum Vordermann
root@host10:~# route add -net 10.7.10.0 netmask 255.255.255.0 gw 192.168.6.27
Festeinstellen in\\
/etc/sysconfig/newtwork/route
10.7.10.0 192.168.6.27 255.255.255.0 eth1
==== N A T ====
ICMP Typen
http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml#icmp-parameters-codes-33
==== IPTables ====
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT
iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.1 -p tcp --sport 1024: --dport 3128 -i eth0 -j ACCEPT
iptables -A OUTPUT -s 192.168.6.30/24 -d 0/0 -p tcp -o eth1 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.6.30 -p tcp -i eth1 -j ACCEPT
iptables -A INPUT -s 152.3.32.1 -d 192.168.6.30 -p udp --sport 53 -dport 1023: -i eth1 -j ACCEP
optional
iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.1/24 -i eth0 -j ACCEPT
iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.1 -p tcp --sport 1024: --dport 3128 -i eth0 -m state --state NEW -j ACCEPT
Reglen mir Nummerierung anzeigen:
iptables -L -n --line-numbers
Ersetzen der dritten Regel in INPUT
iptables -R INPUT 3 -s 0/0 -d 192.168.6.30 -p tcp --sport :1023 --dport 1023: -i eth1 -j ACCEPT
Regelnsichern mit iptables-save
iptables-save >> /home/kit/Documents/iptables.txt
# Generated by iptables-save v1.3.8 on Thu Sep 22 05:05:46 2011
*filter
:INPUT DROP [1000:150229]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [449:280658]
-A INPUT -s 127.0.0.0/255.0.0.0 -d 127.0.0.0/255.0.0.0 -i lo -j ACCEPT
-A INPUT -s 10.10.10.0/255.255.255.0 -d 10.10.10.1 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 3128 -j ACCEPT
-A INPUT -d 192.168.6.30 -i eth1 -p tcp -m tcp --sport 0:1023 --dport 1023:65535 -j ACCEPT
-A INPUT -s 152.3.32.1 -d 192.168.6.30 -i eth1 -p udp -m udp --sport 53 --dport 1023:65535 -j ACCEPT
-A OUTPUT -s 127.0.0.0/255.0.0.0 -d 127.0.0.0/255.0.0.0 -o lo -j ACCEPT
-A OUTPUT -s 192.168.6.0/255.255.255.0 -o eth1 -p tcp -j ACCEPT
COMMIT
# Completed on Thu Sep 22 05:05:46 2011
Die Bridge erhält eine freie IP-Adresse im Netzwerk des Host-Systems.
leopard:~ # ifconfig bri0 192.168.1.100 up