Filtrar SSh por MAC
El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]>escribió: > Hola a todos > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para > que sólo permita conectarse a dos direcciones ip la interna de mi equipo en > la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi > casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo > por la mac del router, pero no he encontrado como hacerlo, se que puedo > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el > acceso > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por > SSH. Tengo entendido que no, ssh no tiene ese soporte. -- Andrés Esteban Ovalle Gahona (kill-9) Staff Debianchile.cl Msn: [EMAIL PROTECTED] Ingeniero (E) Computación e Informática Blog: http://kill-9.debianchile.cl Movil: 09-5795880 Usuario Linux #456290 (counter.li.org) From [EMAIL PROTECTED] Mon Oct 6 22:53:18 2008 From: [EMAIL PROTECTED] (Cristian Saavedra) Date: Mon Oct 6 23:14:03 2008 Subject: Filtrar SSh por MAC In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]>escribió: > Hola a todos > Hola > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para > que sólo permita conectarse a dos direcciones ip la interna de mi equipo en > la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi > casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo > por la mac del router, pero no he encontrado como hacerlo, se que puedo > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el > acceso > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por > SSH. > Tengo entendido que desde la lan se podria hacer una autenticacion via mac pero dudo que se pueda hacer a la distancia, en este caso de tu casa al servidor. Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres es restringir el acceso a la maquina de cualquier otro individuo que no seas tu. Salu2 Cristian Saavedra Miño Estudiante Ingenieria Ejecucion Informatica Pontificie Universidad Catolica de Valparaiso From [EMAIL PROTECTED] Mon Oct 6 23:33:54 2008 From: [EMAIL PROTECTED] (Andres Pereira) Date: Tue Oct 7 00:05:21 2008 Subject: Filtrar SSh por MAC In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Con iptables podrías filtrar en base a una dirección MAC, aunque falsear la MAC es sencillo... Quizás una opción más razonable sea usar solo autenticación con llaves en conjunto con algunas reglas que limiten la tasa de conexiones SSH como las que se describen en un 'thread' de antaño[1]. Y a eso le podrías agregar el servicio de dns dinámico que mencionan en otra respuesta a tu consulta. [1] http://listas.inf.utfsm.cl/pipermail/linux/2007-November/039847.html Suerte, -- Andrés Pereira
Filtrar SSh por MAC
Gracias por sus respuestas. Me parece bastante interesante eso del Port Knocking, no conocia el sistema, pero estoy investigando y me llamó la atención, voy a implementarlo para ver como trabaja. El 6 de octubre de 2008 21:53, Cristian Saavedra <[EMAIL PROTECTED]>escribió: > El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED] > >escribió: > > > Hola a todos > > > > Hola > > > > > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo > para > > que sólo permita conectarse a dos direcciones ip la interna de mi equipo > en > > la empresa y la de mi casa, la de mi equipo interno está lista, pero en > mi > > casa la ip es dinámica, así que para poder configurarlo necesitaría > hacerlo > > por la mac del router, pero no he encontrado como hacerlo, se que puedo > > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el > > acceso > > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por > > SSH. > > > > Tengo entendido que desde la lan se podria hacer una autenticacion via mac > pero dudo que se pueda hacer a la distancia, en este caso de tu casa al > servidor. > > Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres es > restringir el acceso a la maquina de cualquier otro individuo que no seas > tu. > > > Salu2 > > > Cristian Saavedra Miño > Estudiante Ingenieria Ejecucion Informatica > Pontificie Universidad Catolica de Valparaiso > From [EMAIL PROTECTED] Tue Oct 7 09:28:38 2008 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Tue Oct 7 09:28:37 2008 Subject: consulta de LaTeX In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Cristian Fernández <[EMAIL PROTECTED]> wrote: > 2008/10/5 Horst H. von Brand <[EMAIL PROTECTED]> > > Cristian Fernández <[EMAIL PROTECTED]> wrote: > > > Estoy intentando armar una tabla en LaTex que autoajuste el texto a > > > cada una de las columnas de la tabla. Encontre un ejemplo en el > > > cual la tabla tiene tres columnas y ajusta el texto en la columna > > > numero 3, pero necesito que esto lo haga en cada una. > > > Por favor si alguien pueda darme una mano. > > No se entiende realmente lo que quieres hacer... > Lo que quiero hacer es basicamente una tabla, en donde el texto se > autoajuste en cada una de sus columnas independiente del largo del > texto. O sea, usar el formato p{} en cada una de las columnas afectadas... No basta con "buscar ejemplos", hay que tratar de entender como funcionan (y no es que LaTeX no este documentado por todos lados...). -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile 234 Fax: +56 32 2797513 From [EMAIL PROTECTED] Tue Oct 7 09:36:20 2008 From: [EMAIL PROTECTED] (Franco Catrin L.) Date: Tue Oct 7 10:28:19 2008 Subject: Mysql, consulta registro sin integridad referencial In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El lun, 06-10-2008 a las 13:38 -0400, Rodrigo Fuentealba escribió: > El día 6 de octubre de 2008 12:33, Marcos Ramirez > <[EMAIL PROTECTED]> escribió: > > On Wed, 2008-10-01 at 15:37 -0400, Ricardo Mun~oz A. wrote: > >> 2008/10/1 Marcos Ramirez <[EMAIL PROTECTED]>: > >> > On Tue, 2008-09-30 at 19:26 -0700, Lorenzo Ponce wrote: > >> >> no quería hacer la consulta por este medio porque sé que existen > >> >> individuos como este tal rodrigo > >> > ^^^ > >> > No estabas ni estas obligado a usar este medio para hacer /tus/ > >> > consultas. Si aun asi insiste en usarlo, es bajo tu exclusiva > >> > responsabilidad. > >> > >> IMHO el que esta sea una lista publica no implica que las respuestas > >> puedan ser de cualquier forma. > > > > No he dicho tal cosa. Si Lorenzo estaba tan seguro (y al parecer en lo > > correcto tambien) que le iban a llegar respuestas que no queria obtener, > > debio abstenerse. > > También es cierto que todas las personas somos distintas. > > Además, para referirse a lo "malo" del optimizador de MySQL, tienes > que ofrecer un punto de comparación; es mejor que el de SQLite (que sí > que es malo), pero muy por debajo de PostgreSQL, SQL Server 2005 y > Oracle. Ojo que el SQLite tiene objetivos de diseño muy diferentes al resto, no lo puedes poner en el mismo plano de comparación. -- Franco Catrin L. TUXPAN Software S.A. http://www.tuxpan.com/fcatrin
Filtrar SSh por MAC
El 7 de octubre de 2008 0:25, José Palacio <[EMAIL PROTECTED]> escribió: > Gracias por sus respuestas. > > Me parece bastante interesante eso del Port Knocking, no conocia el > sistema, > pero estoy investigando y me llamó la atención, voy a implementarlo para > ver > como trabaja. > > El 6 de octubre de 2008 21:53, Cristian Saavedra <[EMAIL PROTECTED] > >escribió: > > > El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED] > > >escribió: > > > > > Hola a todos > > > > > > > Hola > > > > > > > > > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo > > para > > > que sólo permita conectarse a dos direcciones ip la interna de mi > equipo > > en > > > la empresa y la de mi casa, la de mi equipo interno está lista, pero en > > mi > > > casa la ip es dinámica, así que para poder configurarlo necesitaría > > hacerlo > > > por la mac del router, pero no he encontrado como hacerlo, se que puedo > > > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el > > > acceso > > > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por > > > SSH. > > > > > > > Tengo entendido que desde la lan se podria hacer una autenticacion via > mac > > pero dudo que se pueda hacer a la distancia, en este caso de tu casa al > > servidor. > > > > Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres es > > restringir el acceso a la maquina de cualquier otro individuo que no seas > > tu. > > > > > > Salu2 > > > > > > Cristian Saavedra Miño > > Estudiante Ingenieria Ejecucion Informatica > > Pontificie Universidad Catolica de Valparaiso > > > enjoy ;-) iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \ 00:11:22:33:44:55 -j ACCEPT -- Larry Letelier N. [EMAIL PROTECTED] [EMAIL PROTECTED] From [EMAIL PROTECTED] Tue Oct 7 11:19:21 2008 From: [EMAIL PROTECTED] (Morenisco) Date: Tue Oct 7 11:46:08 2008 Subject: Filtrar SSh por MAC In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On Tue, October 7, 2008 8:32 am, Larry Letelier N. wrote: [...] > enjoy ;-) > > iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \ > 00:11:22:33:44:55 -j ACCEPT Si veo que esta pasando por la red, le pongo esa MAC a mi NIC, entonces alcanzare el puerto sin problemas. Saludos. -- Morenisco. Centro de Difusión del Software Libre. http://www.cdsl.cl Blog: http://morenisco.belvil.eu
Filtrar SSh por MAC
2008/10/7 Morenisco <[EMAIL PROTECTED]> > On Tue, October 7, 2008 8:32 am, Larry Letelier N. wrote: > > [...] > > > enjoy ;-) > > > > iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \ > > 00:11:22:33:44:55 -j ACCEPT > > Si veo que esta pasando por la red, le pongo esa MAC a mi NIC, entonces > alcanzare el puerto sin problemas. Para lo que cuesta clonar una tarjeta de red :P > > > Saludos. > > > -- > Morenisco. > > Centro de Difusión del Software Libre. > http://www.cdsl.cl > Blog: http://morenisco.belvil.eu > > -- Andrés Esteban Ovalle Gahona (kill-9) Staff Debianchile.cl Msn: [EMAIL PROTECTED] Ingeniero (E) Computación e Informática Blog: http://kill-9.debianchile.cl Movil: 09-5795880 Usuario Linux #456290 (counter.li.org) From [EMAIL PROTECTED] Tue Oct 7 13:56:41 2008 From: [EMAIL PROTECTED] (Wladimir A. Jimenez B.) Date: Tue Oct 7 13:56:48 2008 Subject: Filtrar SSh por MAC In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Seria mas seguro usar las Llaves del Ssh, ahora el filtro por mac es uno mas y puede servir de mucho. Dado que esta no es una red facil de snifear asi que tengo igual pega en encontrar la MAC valida. Si me equivoco espero me corrijan. 2008/10/7 Andrés Ovalle Gahona <[EMAIL PROTECTED]> > 2008/10/7 Morenisco <[EMAIL PROTECTED]> > > > On Tue, October 7, 2008 8:32 am, Larry Letelier N. wrote: > > > > [...] > > > > > enjoy ;-) > > > > > > iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \ > > > 00:11:22:33:44:55 -j ACCEPT > > > > Si veo que esta pasando por la red, le pongo esa MAC a mi NIC, entonces > > alcanzare el puerto sin problemas. > > > Para lo que cuesta clonar una tarjeta de red :P > > > > > > > Saludos. > > > > > > -- > > Morenisco. > > > > Centro de Difusión del Software Libre. > > http://www.cdsl.cl > > Blog: http://morenisco.belvil.eu > > > > > > > -- > Andrés Esteban Ovalle Gahona (kill-9) > Staff Debianchile.cl > Msn: [EMAIL PROTECTED] > Ingeniero (E) Computación e Informática > Blog: http://kill-9.debianchile.cl > Movil: 09-5795880 > Usuario Linux #456290 (counter.li.org) > -- Wladimir A. Jiménez B. http://www.kasbeel.cl Linux User # 444661 Ubuntu User # 19201 From [EMAIL PROTECTED] Tue Oct 7 14:32:02 2008 From: [EMAIL PROTECTED] (=?UTF-8?B?Q3Jpc3RpYW4gUm9kcsOtZ3Vleg==?=) Date: Tue Oct 7 14:33:18 2008 Subject: Filtrar SSh por MAC In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> José Palacio escribió: > Hola a todos > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para > que sólo permita conectarse a dos direcciones ip la interna de mi equipo en > la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi > casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo > por la mac del router, pero no he encontrado como hacerlo, se que puedo > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el acceso > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por SSH. Falsificar la MAC address es un juego de niños, ademas implementar restricciones por IP es una notable mal idea, puedes denegarte el servicio facilmente. Como te recomendaria hacerlo ? bien.. es un poquito mas complicado ;) a) con tu gestor de paquetes, instala openVPN b) si solamente necesitas acceder al servicio de SSH desde el exterior desde UN solo PC, sigue estas instrucciones http://www.openvpn.net/index.php/documentation/miscellaneous/static-key-mini-howto.html y establece una conexion VPN desde tu casa, ( en el ejemplo el "client" es tu casa, y el server "en la empresa") Luego configuras tu firewall para solo permitir conexiones al servicio SSH por la interfaz tunN , ya no importara que IP tengas, Si tienes la llave, puedes acceder a culquier servicio que "escuche" en es interfaz. -- "A computer is like an Old Testament god, with a lot of rules and no mercy. " Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research & Development http://www.opensuse.org/
Filtrar SSh por MAC
On Mon, 2008-10-06 at 15:28 -0500, José Palacio wrote: > Hola a todos > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para > que sólo permita conectarse a dos direcciones ip la interna de mi equipo en > la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi > casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo > por la mac del router, pero no he encontrado como hacerlo, se que puedo > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el acceso > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por SSH. Si te entiendo bien, no puedes filtrar por MAC de un computador que esta en otra red. Puedes verificar con: # tcpdump -nei eth0 port 22 Deberias ver la mac del router local, no de tu PC en la casa. Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro, si sufres de paranoia, cambiarlo de puerto seria mas efectivo. -- Aldrin Martoq <[EMAIL PROTECTED]> http://aldrinvideopodcast.podshow.com/
Filtrar SSh por MAC
On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote: [...] > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro, > si sufres de paranoia, cambiarlo de puerto seria mas efectivo. Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222: Nota: cambie la IP real por $IP 1) Escaneo basico: growing:/etc/ssh# nmap $IP Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com (10.157.153.250): Not shown: 1708 closed ports PORT STATE SERVICE 80/tcp open http 111/tcp open rpcbind 113/tcp open auth 222/tcp open rsh-spx 902/tcp open iss-realsecure 3128/tcp open squid-http 8080/tcp open http-proxy Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds --> Algo con remote shell esta siendo indicado en el puerto 222. 2) Le hacemos un telnet al puerto 222: growing:/etc/ssh# telnet $IP Trying 10.157.153.250... Connected to 10.157.153.250. Escape character is '^]'. SSH-2.0-OpenSSH_5.1p1 Debian-2 ^C^C^C^C^C^C^C Connection closed by foreign host. --> Sale al toke, es SSH... 3) Vamos a pedir mas info del puerto: growing:/etc/ssh# nmap 10.157.153.250 -p 222 -v -sV Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:04 CLT Initiating Parallel DNS resolution of 1 host. at 17:04 Completed Parallel DNS resolution of 1 host. at 17:04, 0.20s elapsed Initiating SYN Stealth Scan at 17:04 Scanning XXX ($IP) [1 port] Discovered open port 222/tcp on $IP Completed SYN Stealth Scan at 17:04, 0.01s elapsed (1 total ports) Initiating Service scan at 17:04 Scanning 1 service on XXX ($IP) Completed Service scan at 17:04, 6.00s elapsed (1 service on 1 host) SCRIPT ENGINE: Initiating script scanning. Host XXX ($IP) appears to be up ... good. Interesting ports on XXX ($IP): PORTSTATE SERVICE VERSION 222/tcp open ssh (protocol 2.0) 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port222-TCP:V=4.62%I=7%D=10/7%Time=48EBCEDE%P=i686-pc-linux-gnu%r(NULL, SF:20,"SSH-2\.0-OpenSSH_5\.1p1\x20Debian-2\r\n"); Read data files from: /usr/share/nmap Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 6.290 seconds Raw packets sent: 1 (44B) | Rcvd: 2 (88B) Intentar proteger los servicios via esconderlos no sirve, y se le denomina "seciruty by obscurity". Saludos. -- Morenisco. Centro de Difusión del Software Libre. http://www.cdsl.cl Blog: http://morenisco.belvil.eu
Filtrar SSh por MAC
> -Mensaje original- > De: [EMAIL PROTECTED] [mailto:linux- > [EMAIL PROTECTED] En nombre de Francisco Saravia Stein > Enviado el: Martes, 07 de Octubre de 2008 17:08 > Para: linux@listas.inf.utfsm.cl > Asunto: Re: Filtrar SSh por MAC > > Aldrin Martoq wrote: > > > > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro, > > si sufres de paranoia, cambiarlo de puerto seria mas efectivo. > > > > Recuerdo que hace un par de años tenía un servidor 24/7... increíbles los > logs de intentos de acceso a ssh, desde varias partes están los tipos > permanentemente tratando claves y usuarios "típicos" (además del root, que > mantengo bloqueado por sshd.conf). > > Si tienes algún usuario/contraseña algo obvio, demás que estos brutos (por > lo de "fuerza bruta") van a entrar, así que no sé... nunca está demás algo > de paranoia. También podrías - por iptables - limitar los intentos de > conexión al 22. > > -- > Francisco Saravia Stein No se si están realmente paranoicos o yo tengo la seguridad muy baja. Strong password + fail2ban + no root por ssh. Debería parar la mayoría de todos los intentos. Un ataque diccionario le tomaría demasiado tiempo y además luego de 3 intentos bloquearía la ip. Autentificación por MAC ayuda, pero la MAC también se puede falsear. En los logs no tengo tantos intentos de ataque y los que hay fail2ban se los ha cepillado. Terminar colocando tanta seguridad a la casa pienso que en alguna emergencia no te dejaría entrar y a la larga puede ser peor. Saludos cordiales.
Filtrar SSh por MAC
On Tue, 2008-10-07 at 15:12 -0600, Morenisco wrote: > On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote: > [...] > > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro, > > si sufres de paranoia, cambiarlo de puerto seria mas efectivo. > Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222: > Nota: cambie la IP real por $IP > 1) Escaneo basico: > growing:/etc/ssh# nmap $IP > Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT > Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com > (10.157.153.250): > Not shown: 1708 closed ports > PORT STATE SERVICE > 80/tcp open http > 111/tcp open rpcbind > 113/tcp open auth > 222/tcp open rsh-spx > 902/tcp open iss-realsecure > 3128/tcp open squid-http > 8080/tcp open http-proxy > Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds > --> Algo con remote shell esta siendo indicado en el puerto 222. > 2) Le hacemos un telnet al puerto 222: > > growing:/etc/ssh# telnet $IP > Trying 10.157.153.250... > Connected to 10.157.153.250. > Escape character is '^]'. > SSH-2.0-OpenSSH_5.1p1 Debian-2 > ^C^C^C^C^C^C^C > Connection closed by foreign host. > Intentar proteger los servicios via esconderlos no sirve, y se le denomina > "seciruty by obscurity". No, no te garantiza, pero es un buen filtro: la mayoria de los script kiddies hace lo mismo que hiciste: si lo pones en un puerto no usual como 2, un nmap normal no lo calza. Si quieres ser realmente quisquilloso, pones DROP en cualquier cosa extran~a y el nmap se demora infinitamente y aburre. Asi que en mi experiencia, cambiarlo de puerto ha bajado la cantidad de script kiddies a 0, basta revisar los logs. La parte de paranoia me refiero a que es normal que intenten entrar al puerto 22, ya sea para probar algun usuario/clave tonto o por error; si tienes alguna politica respecto a esto deberias poder dormir tranquilo. -- Aldrin Martoq <[EMAIL PROTECTED]> http://aldrinvideopodcast.podshow.com/
Filtrar SSh por MAC
José Palacio escribió: > Hola a todos > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para > que sólo permita conectarse a dos direcciones ip la interna de mi equipo en > la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi > casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo > por la mac del router, pero no he encontrado como hacerlo, se que puedo > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el acceso > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por SSH. > En tu caso aplicaria una solucion, que aunque quizas sea un poco mas compleja de implementar, es mas robusta y segura (y te permitira conectarte a cualquier cosa en tu LAN) VPN (googlese por "vpn roadwarrior") Saludos -- Atte. Ricardo Utreras Estrella
Filtrar SSh por MAC
On Tuesday 07 October 2008 10:32:16 Larry Letelier N. wrote: > El 7 de octubre de 2008 0:25, José Palacio <[EMAIL PROTECTED]> escribió: > > Gracias por sus respuestas. > > > > Me parece bastante interesante eso del Port Knocking, no conocia el > > sistema, > > pero estoy investigando y me llamó la atención, voy a implementarlo para > > ver > > como trabaja. > > > > El 6 de octubre de 2008 21:53, Cristian Saavedra <[EMAIL PROTECTED] > > > > >escribió: > > > > > > El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED] > > > > > > >escribió: > > > > > > > > Hola a todos > > > > > > Hola > > > > > > > Tengo un pequeño problema con el servicio SSH ya que debo > > > > configurarlo > > > > > > para > > > > > > > que sólo permita conectarse a dos direcciones ip la interna de mi > > > > equipo > > > > > en > > > > > > > la empresa y la de mi casa, la de mi equipo interno está lista, pero > > > > en > > > > > > mi > > > > > > > casa la ip es dinámica, así que para poder configurarlo necesitaría > > > > > > hacerlo > > > > > > > por la mac del router, pero no he encontrado como hacerlo, se que > > > > puedo hacerlo por IPTables restringiendo el puerto 22 y permitienso > > > > sólo el acceso > > > > desde la mac de mi equipo, pero me gustaría saber si se puede hacer > > > > por SSH. > > > > > > Tengo entendido que desde la lan se podria hacer una autenticacion via > > > > mac > > > > > pero dudo que se pueda hacer a la distancia, en este caso de tu casa al > > > servidor. > > > > > > Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres > > > es restringir el acceso a la maquina de cualquier otro individuo que no > > > seas tu. > > > > > > > > > Salu2 > > > > > > > > > Cristian Saavedra Miño > > > Estudiante Ingenieria Ejecucion Informatica > > > Pontificie Universidad Catolica de Valparaiso > > enjoy ;-) > > iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \ > 00:11:22:33:44:55 -j ACCEPT Imposible bloquear por mac, si no se encuentran en la misma red. la mac de la NIC de tu casa, al pasar por el primer router, se pierde. Saludos!.