Если Вы пропускаете правило включить трафик из ESTABLISHED
соединения, затем Вам будет нужно правило, позволяющее трафик от Вашего хоста до удаленной системы. Распространено иметь первое правило как это:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Затем можно включить доступ с правилом как:
iptables -A INPUT -s zzz.example.com -p tcp --dport 6789 -j ACCEPT
Кроме того, можно использовать разработчика брандмауэра как shorewall
и включите port knocking
открыть порт в течение нескольких секунд при необходимости.
Если Ваш ssh демон поддерживает tcp_wrapers
, затем можно ограничить доступ с /etc/hosts.allow
и /etc/hosts.deny
файлы. Даже при фиксации брандмауэра можно хотеть посмотреть на использование этой возможности уведомить Вас, когда удаленные связи установлены. Следующие блоки правил много доменов страны, и посылают электронное письмо на каждом succ
sshd : ALL \
EXCEPT .ar .au .br .by .cl .co .cz .do .eg .gt \
.id .il .in .jp .ma .mx .nl .pe .pk .pl .pt \
.ro .rs .ru .sa .sg .tr .tw .ua .vn .za \
.ae .at .bg .gh .hr .hu .ke .kz .lt .md \
.my .no .sk .uy .ve : \
spawn (/bin/echo "SSH connection to %N from %n[%a] allowed" | \
/usr/bin/mailx -s "SSH Allowed" you@example.com)
Править: Используя доменные имена в правилах не хорошая идея:
Если Вы имеете динамический адрес или безопасный доступ от относительно большого диапазона IP-адреса или используете стук порта. Можно использовать fail2ban
или подобная программа для блокировки адресов, которые зондируют ssh сервис. tcpwrappers
может использоваться как выше для помещения ограничений, на которых адреса могут соединиться и добавить дополнительный вход. Если Вы часто не соединяетесь, можно хотеть зарегистрировать успешные, а также неудачные попытки.
У меня была аналогичная проблема. Для меня установка cifs-utils устранила проблему.