Preciso che sul router la porta 22 è aperta ed ho già abilitato il port forwarding, sempre sulla porta medesima.
Sul server carico anche un'ulteriore configurazione di sicurezza, all'interno del file /etc/rc.d/rc.firewall.
Eccola:
Codice: Seleziona tutto
INTERFACE="eth0"
IPTABLES="`which iptables`"
# Impostazioni di default
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# Abilitazione dell'interfaccia di loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
# Regole anti-spoofing
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $INTERFACE -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $INTERFACE -j DROP
# Regola per abilitare il traffico sulla subnet 192.168.1.0
$IPTABLES -A INPUT -s 192.168.1.0/24 -i $INTERFACE -j ACCEPT
# Regola di stateful inspection
$IPTABLES -A INPUT -i $INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Regole riguardanti il PING
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP
# Abilitazione del forwarding
echo 1 >/proc/sys/net/ipv4/ip_forward
# Abilitazione del traffico sul device tun0
$IPTABLES -A INPUT -i tun0 -j ACCEPT
# Apertura delle porte per FTP, Webmin e DNS
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1025 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1026 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1027 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1028 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1029 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1030 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 10000 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 53 -j ACCEPT
# Apertura delle porte per SMTP e POP3
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 110 -j ACCEPT
# Apertura delle porte 1194 e 8859
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 8859 -j ACCEPT
# Apertura delle porte per Apache, Spamassassin, DCC e rblsd
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 783 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 784 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 6277 -j ACCEPT
# Apertura delle porte per Samba
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 445 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 445 -j ACCEPTCodice: Seleziona tutto
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = synCodice: Seleziona tutto
knock ip_pubblico_del_server 7000 8000 9000 -vIl syslog mi dice:
Codice: Seleziona tutto
Oct 12 15:03:59 lago sshd[2462]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.Burroughs.
