Проблема такова, что ViPNet Coordinator постоянно смотрит одним концом “во внешку”, чтобы к нему могли подключаться клиенты. И так уж вышло, что на этой железке поднят SSH. И как-то раз мне, разбирая очередную пачку логов, надоело видеть попытки разного рода китайцев подобрать логин/пароль на SSH используя популярные словари.
Проблема в том, что используя штатные средства не так уж очевидно, как можно сделать эту защиту. Сейчас я вижу два способа.
Защита штатным файрволлом
Важное условие, внешний интерфейс должен быть в нужном режиме (как минимум 3).
(сюда подставьте нужный интерфейс, который смотрит “в мир” с внешним адресом).
# iplir stop
# iplir config eth1
[mode]
mode= 3
Затем нужно создать правило в файрволле:
# iplir config firewall
Идём в раздел [local]
– тут правила, относящиеся к нашим собственным интерфейсам.
rule= num 4 proto tcp from anyip to 33.44.33.55:22 in drop
только вместо 33.44.33.55 – наш внешний IP-адрес.
SSH только на внутренний интерфейс
Этот способ мне кажется довольно таки гибким. Делаем так:
# admin escape
Выходим из интерактивной оболочки в консоль. Открываем конфигурационный файл sshd:
# vi /etc/ssh/sshd_config
Устанавливаем службу отвечать только на внутренний адрес (можно также поменять номер порта).
Перезапускаем SSH:
# /etc/init.d/ssh restart
Теперь попытки подключиться извне будут просто игнорироваться.
Comments: