Início / unix / Perguntas / 555574
Accepted
acgbox
Asked: 2019-12-05 06:07:26 +0800 CST

regra do iptables que permite conectar ao ssh de fora com validação do mac

  • 772

Eu tento me conectar de fora da minha rede ao meu servidor ssh, mas quero restringir essa conexão apenas ao meu endereço mac

esta regra funciona:

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j ACCEPT

No entanto, nenhuma dessas regras funciona para mim:

iptables -t mangle -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT

O que devo fazer para proteger o ssh pela validação do mac?

PD: Eu sei que o SSH é um protocolo TCP/IP, e só escuta um endereço IP, não um endereço mac, mas li em alguns fóruns que é possível fazer isso, mas eles não explicam o caminho. Também sei que existem outras maneiras de proteger o ssh, como "bater na porta", "chaves em vez de senha", etc., etc., e que os endereços macs podem ser falsificados. Mas ainda quero saber como posso validar a entrada por ssh usando validação de mac

ssh iptables

2 respostas

  1. Best Answer

    Um servidor/dispositivo pode ver apenas endereços mac de outros dispositivos na rede local, mas não dispositivos atrás de um roteador.

    Então, se um dispositivo pode se conectar diretamente a outro - eles veem macs um do outro. Mas se um dispositivo passar por um roteador para conectar outro dispositivo (não switch ou switch wifi, mas roteador voltado para seus dois dispositivos usando interfaces de rede diferentes), eles não poderão ver os macs um do outro.

    a) Neste caso os dispositivos podem ver macs uns dos outros

    (device1) <---\
                ----- (switch or wifi point)
(device2) <---/

    b) Neste caso (dispositivo1) pode ver apenas mac de (roteador ISP), não de (dispositivo 2)

    (device1) <-----> (ISP router) <-----> (device2)

    Então, com base em macs, você pode configurar quem pode se conectar ao seu ponto wifi, porque se trata de rede local e conexões diretas.

    Mas você não tem idéia sobre macs de dispositivos tentando chegar à sua rede de um local remoto, em tais cenários, sabendo que macs de dispositivos remotos são inúteis.

    Isso faz sentido?

    • 1

  2. Você não pode ver seu mac cliente real em seu servidor. Lá você vê apenas o gateway (roteador, etc) mac. Você deve ler algo sobre redes e protocolos.

    • 0

relate perguntas