Linux IPtables sur Openwrt: transmission vs filtrage de paquets avec état

J'ai suivi le manuel d'administration système Unix et Linux, exemple complet pour iptables dans la cinquième édition. Le filtrage de paquets avec état m'a permis d'imprimer à distance sur mon MakerBot, mais je ne pouvais pas me connecter à mon serveur domestique via SSH aujourd'hui. Le manuel SysAdmin indique que le filtrage de paquets avec état est la fonctionnalité la plus puissante apportée par Netfilter pour le pare-feu, mais qu’il peut ajouter une complexité inutile au réseau. Par conséquent, je vais probablement réduire mes pertes avec le filtrage de paquets avec état, à moins que quelqu'un ne puisse couper le nœud gordien.

IPtables -L -v sortie:

0     0 ACCEPT     tcp  --  any    any     anywhere             icarus.lan           tcp dpt:ssh
0     0 ACCEPT     tcp  --  any    any     anywhere             icarus.lan           tcp dpt:www
0     0 ACCEPT     tcp  --  any    any     anywhere             icarus.lan           tcp dpt:https

23M 21G ACCEPTEZ tous - n'importe quel état n'importe où et n'importe où. LIÉ, ÉTABLI

Pour une raison quelconque, Open-WRT / LEDE réinitialise ma stratégie d'entrée par défaut à accepter même après l'avoir définie sur DROP. Cependant, cette règle ne semble pas correspondre à rien, donc je ne suis pas trop inquiet. Vous pouvez voir ci-dessus que le transfert de paquets est défini pour SSH mais que cette règle ne correspond à rien. Merci pour votre temps et votre contribution.

— quaternioneer
source

Si vous souhaitez simplement rendre certains ports (ssh, impression) de certains ordinateurs de votre réseau domestique visibles de l’extérieur (à condition que votre fournisseur de services Internet vous ait attribué une adresse IP publique et qu’il n’utilise pas le NAT), redirection de port peut être plus simple qu'une configuration manuelle de pare-feu. Si votre FAI utilise un NAT de classe opérateur, ne vous attendez pas à ce que cela fonctionne (ou utilisez IPv6).

— dirkt

À court terme, la redirection de port serait plus facile, mais je ne suis pas sûre que ce soit plus facile à long terme. L'intersection entre l'interface des quatre routeurs que j'ai configurés pour la redirection de port pour SSH, www, impression, est faible: le port en contournement est toujours répertorié à un endroit différent de l'interface du navigateur Web et un routeur l'appelle "gestion de service" au lieu. Cependant, sous le capot, je suis à peu près sûr qu'ils utilisent tous iptables.

— quaternioneer

Réponses:

Après un certain dépannage ce matin, j'ai réussi à ouvrir le port 22, mais avec la mise en garde que ma stratégie par défaut est ACCEPT. Je ne peux que SSH dans mon routeur, pas mon serveur (Icarus). Évidemment, avec IPv6, je pouvais me connecter directement à Icarus, mais il n’ya qu’un seul coffeeshop avec IPv6 en ville. Aucune de ces solutions n’est acceptable à long terme, je souhaite donc toujours des conseils, mais pour le court terme, ma configuration est acceptable.

— quaternioneer
source

Euh, vous ne voulez pas que votre routeur soit ouvert à l'état sauvage sur 22. Ce routeur prend-il en charge la traduction de port?

— Tim_Stewart

Les IPtables supportent PAT. Certains textes pourraient l'appeler NAT.

— quaternioneer

Le fait de perdre la connexion SSH chaque fois que je me sens trop en sécurité dans un café me ralentit considérablement le nombre de configurations que je peux parcourir en une semaine. Je pensais que je pouvais imiter une connexion extérieure en utilisant le point d'accès de mon téléphone, mais parfois, je peux me connecter via SSH à l'aide de mon point d'accès, mais je ne peux pas le faire dans un café qui n'a pas de sens pour moi.

— quaternioneer

Hmm, je suppose que cela dépend du hotspot. Certains de ceux de ma région (style portail captif) autoriseront uniquement le port 53, 80 & amp; 443 sortants sur le réseau. Essayez peut-être d’héberger la connexion SSH sur un autre port. Ou un VPN dans une boîte que vous savez peut atteindre les appareils que vous devez configurer.

— Tim_Stewart

La raison pour laquelle mon point d'accès mobile connecté à mon serveur depuis le réseau local est dû au fait que j'ai négligé d'activer le WiFi sur mon smartphone. J'ai réalisé qu'au lieu d'essayer de manipuler directement iptables, il serait beaucoup plus facile de configurer la redirection de port dans le navigateur, puis SSH dans le routeur et d'exécuter iptables -L -v pour voir ce qui avait changé dans le backend. Comme les changements sont dans les versions pré et post, la commande susmentionnée n'a montré aucune modification par la suite, j'ai donc dû exécuter iptables -t nat -L pour voir ce qui avait changé.

— quaternioneer
source