web-dev-qa-db-ja.com

ファイアウォール:を介して認証されたソースからのすべてのトラフィックを許可します。オープンssh接続

テストサーバーと開発サーバーでファイアウォールルールが常に編集されないようにする方法を探しています。すべてのポートを開きたくありません。したがって、ssh接続が確立されているソースからのすべてのトラフィックを自動的に許可する方法があるのではないかと思いました。 (数年前、誰かが開発/テストサーバーに対してこのようにしたと言っていました->ルートとファイアウォールの編集は必要なく、アプリケーションを保護する必要はありません)

Sshトンネルを使用できることはわかっていますが、これに関する問題は、動的ポートアプリケーション、マルチポートアプリケーション、および作業のオーバーヘッドにあります。

IpTablesやその他のファイアウォールは、おそらくssh接続が認証されたかどうかを知りませんが、回避策や代替手段はありますか? (例:5秒以上確立->失敗時に公開/秘密鍵の自動切断)

  • 入力ドロップ
  • ループバックを許可する
  • SSHを許可する
  • ローカルネットワークを許可する
  • 確立されたssh接続を持つソースからのすべてのトラフィックを許可します。

最後のルールを除いて、すべてのルールは単純明快です。残念ながら、私はかつてそれについて話した人の連絡先情報を持っておらず、調査から1時間以内に関連する/類似するものを掘り下げることができませんでした。

このようなことさえ可能ですか?私はどんな入力にも感謝します:)

3
SuperUser

カスタムフィルターを使用してsuccessfulログインを検出し、カスタムアクションを使用して検出されたソースIPのiptablesルールを禁止するのではなく追加することで、「fail2ban」を希望に合わせて曲げることができます。

それは少し奇妙なので、次の人があなたが何をしていたのかを理解できるように、構成にいくつかの本当に良いコメントが必要です:)

3
Craig Miskell