Hallo zusammen,
nachdem ich nun heute den ganzen Tag probiert habe und jetzt Rückenschmerzen und zerschundene Finger vom Tippen habe ) muss ich nun leider doch einen Request hier machen.
Problem:
Ich habe auf dem Raspberry einen ssh-Server laufen. In der Grundeinstellung meines wheezy-Systems kann ich per ssh-client wunderbar drauf zugreifen.
Seit ich die empfohlenen Einträge in der /etc/network/iptables eingefügt habe, habe ich keinen Zugriff mehr, sofern ich den Parameter -s nutze (der die Range der nutzungsberechtigten IPs angibt).
Ohne den Parameter klappt der Zugriff. Nur leider eben von absolut jedem Gerät, was ich nicht will.
Die Einträge in der iptables habe ich u.a. nach dieser Anleitung eingestellt.
Linux-Firewall iptables unter Raspbian konfigurieren
Demzufolge sind dort folgende Einträge drin:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22555 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Alles anzeigen
Mein ssh-client läuft auf Android. Im Router nutze ich Port-Forwarding. Möglicherweise ist demzufolge einer von den beiden ssh-Einträgen zu viel - habe aber mit beiden einzeln probiert - ohne Erfolg.
Das Android-Gerät bekommt vom Router per dhcp die IP 192.168.1.4 zugewiesen.
Wenn ich richtig gelesen habe, dann sollte meine Angabe des Parameters -s alle internen IPs von 192.168.1.0 bis 192.168.1.255 zulassen - korrekt?
Durch Entfernung des Parameters -s werden die Verbindungen meiner Androiden akzeptiert.
Aber ich möchte ja gern die IP-Beschränkung nutzen...
Die Regeln liefern folgendes Ergebnis (mit -s Parameter) - per Hand abgetippt -:
sudo iptables -L
CHAIN INPUT (policy DROP)
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.1.0/24 anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- 192.168.1.0/24 anywhere state NEW tcp dpt:22555
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
CHAIN FORWARD (policy ACCEPT)
CHAIN OUTPUT (policy ACCEPT)
Alles anzeigen
Kann es andere Stellen im System geben, die bei mir verstellt sein könnten und im Ergebnis den Parameter -s hier nicht benutzbar machen lassen?
Sieht der erfahrene ip-Tabler evtl. einen groben Schnitzer?
Gebe ich die IP evtl. doch falsch an?
Vielen Dank schon mal im Voraus (auch schon fürs Lesen und Mitleiden)!
Frohe Pfingsten noch!
Tobias