iptables для SSH совместно с Asterisk

[aviacliff]

Всем привет!

Задача:
нужно настроить iptables для порта SSH ( порт берем не стандартный, отличный от 22, например: 2728) при совместной работе с Asterisk.
Строго не судите, имею опыт только включения Firestarter-а.

Код: [Выделить]

# Задаем некоторые переменные:

# Номера непривилегированных портов
UNPRIPORTS="1024:65535"

#Открываем порт:
# SSH клиент (2728)
    iptables -A OUTPUT -p tcp -m tcp -o 72.232.194.162 --dport 2728 --sport $UNPRIPORTS -j ACCEPT
    iptables -A INPUT -p tcp -m tcp -i 72.232.194.162 --dport $UNPRIPORTS --sport 2728 -j ACCEPT ! --syn
    iptables -A OUTPUT -p tcp -m tcp -o 72.232.194.162 --dport 2728 --sport 1020:1023 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp -i 72.232.194.162 --dport 1020:1023 --sport 2728 -j ACCEPT ! --syn

# Защита от атаки brute-force
iptables -A INPUT -p tcp --dport 2728 -m recent --set --name ssh --rsource
iptables -A INPUT -p tcp --dport 2728 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT

# Ограничение количеств соединений к SSH  не более 3-х соединений за последнюю минуты
iptables -A INPUT -p tcp --dport 2728 --syn -m limit --limit 1/m --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 2728 --syn -j DROP
Вопрос: будет работать такая конструкция? Или как говорится linux нас поправит.

Использовались статьи:

http://posix.ru/network/iptables/
Настройка межсетевого экрана Iptables


http://wiki.centos.org/HowTos/Network/SecuringSSH
Securing OpenSSH

[fisher74]

Как тут гворят некоторые: мы Вам не онлайн-интерпретаторы скриптов.
Показывайте выхлоп iptables-save

Правда посмотрел по диагонали у Вас явно перепутаны направления.... или Вы неправильно описали задачу

[aviacliff]

Не спорю, в голове туман, беру паузу для изучения материала:
Приемы работы в Ubuntu.
Глава 7: Безопасность
по ссылке
http://rus-linux.net/nlib.php?name=/MyLDP/BOOKS/ubuntu_hacks_ru/ubuntuhack69.html

[aviacliff]

Действительно в примере от 25 января 2013, 09:24:21 зашита работать не будет, так как прописана после разрешения на порту 2728.
Вероятно должно быть так:

Код: [Выделить]

# Задаем некоторые переменные:

# Номера непривилегированных портов
UNPRIPORTS="1024:65535"

# Защита от атаки brute-force
iptables -A INPUT -p tcp --dport 2728 -m recent --set --name ssh --rsource
iptables -A INPUT -p tcp --dport 2728 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT

# Ограничение количеств соединений к SSH  не более 3-х соединений за последнюю минуты
iptables -A INPUT -p tcp --dport 2728 --syn -m limit --limit 1/m --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 2728 --syn -j DROP

#Открываем порт:
# SSH (2728)   
    iptables -A INPUT -p tcp -m tcp -i 72.232.194.162 --dport $UNPRIPORTS --sport 2728 -j ACCEPT ! --syn
    iptables -A OUTPUT -p tcp -m tcp -o 72.232.194.162 --dport 2728 --sport $UNPRIPORTS -j ACCEPT
   
    iptables -A INPUT -p tcp -m tcp -i 72.232.194.162 --dport 1020:1023 --sport 2728 -j ACCEPT ! --syn
    iptables -A OUTPUT -p tcp -m tcp -o 72.232.194.162 --dport 2728 --sport 1020:1023 -j ACCEPT