Linux Systeembeheer/Firewall probleem met remote SSH

Inleiding

bewerken

Situatieschets

bewerken

Na het installeren van de CentOS server wou ik van op andere hosts in mijn netwerk via SSH verbinden met de CentOS server.
Na het volgen van de tutorial op de CentOS Wiki en wat zoeken bleek dat de firewall de remote SSH blokkeerde.
De hosts binnen 192.168.2.0/24 konden wel pingen naar de CentOS Server.

We proberen opnieuw poort 22 (SSH) open te zetten voor het interne netwerk door, zoals beschreven in de wiki, de regel -A INPUT -p tcp -s 192.168.2.0/24 --dport 22 -j ACCEPT aan iptables toe te voegen, en herstarten vervolgens de iptables service.

$ service iptables restart

Mogelijke output van ping en SSH op Laptop0 na het uitvoeren van vorige stappen:

$ scorpion@Scorpion:~$ ping 192.168.2.2
  PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.
  64 bytes from 192.168.2.2: icmp_seq=1 ttl=64 time=1.23 ms
  64 bytes from 192.168.2.2: icmp_seq=2 ttl=64 time=1.09 ms
  …
$ scorpion@Scorpion:~$ ssh thepegasus@192.168.2.2
  ssh: connect to host 192.168.2.2 port 22: No route to host

Oplossing

bewerken

Input gaat default via RH-Firewall-1-INPUT en niet via INPUT, zie de eerste regel in iptables: -A INPUT –j RH-Firewall-1-INPUT.
Door de voorheen aan iptables toegevoegde regel te wijzigen in -A RH-Firewall-1-INPUT –p tcp –s 192.168.2.0/24 –dport 22 –j ACCEPT kunnen we, na een herstart van de iptables service, verbinden via SSH met de CentOS server van overal binnen het 192.168.2.0/24 netwerk.

$ service iptables restart

Resultaat

bewerken

Verbinden over SSH van PC1 naar 192.168.2.2 (de CentOS server) lukt.

Hoe voorkomen

bewerken

Configureer SELinux aan de hand van de Text User Interface.

$ system-config-securitylevel-tui

Uitbreiding: extern netwerk

bewerken

Om te verbinden met de CentOS server van een netwerk buiten 192.168.2.0/24 moeten we de iptables uitbreiden, de poort 22 laten forwarden en een route toevoegen in beide routers.
In mijn voorbeeld zal 192.168.1.0/24 verbonden worden met 192.168.2.0/24.
Router 1: (192.168.1.1) Destination: 192.168.2.0 Netmask: 255.255.255.0 Gateway: 192.168.1.6
Router 2: (192.168.2.1) Destination: 192.168.1.0 Netwask: 255.255.255.0 Gateway: 192.168.1.1

Bibliografie

bewerken

https://wiki.centos.org/HowTos/Network/SecuringSSH

Informatie afkomstig van https://nl.wikibooks.org Wikibooks NL.
Wikibooks NL is onderdeel van de wikimediafoundation.