[alexcor]

Ciao ragazzi, spero possiate aiutarmi...ho notato dai log del decoder (OpenPLI 6 su Zgemma Star H2) che ci sono un'infintà di tentativi di accesso dall'esterno verso il mio dec in ssh. Vorrei bloccare l'accesso in ssh limitandolo solo alla lan interna e ad un indirizzo pubblico da cui accedo io (il mio ufficio...) e non potendo/volendo comprare un firewall ho pensato di usare iptables dal momento che è disponibile per l'installazione in OpenPLI.
Ho applicato le tre regole seguenti:
iptables -A INPUT -s x.x.x.x -j ACCEPT (ip pubblico al posto delle x ovviamente )
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -j DROP
dopodichè il decoder non naviga più. Ho scoperto che allora bisognerebbe abilitare il traffico generato dal decoder stesso aggiungendo una regola simile a iptables -A INPUT -s ipdecoder --match state --state ESTABLISHED,RELATED -j ACCEPT, ma non viene riconosciuto l'opzione --state. Stesso problema se provo a filtrare per esempio per destionation port con l'opzione -p tcp --dport 22. E' possibile che il pacchetto iptables presente in OpenPLI sia "castrato" e non siano disponibili tutte le feature?
Potete suggerirmi un altro modo per limitare il traffico ssh solo agli indirizzi che voglio io?

Grazie mille per le risposte

[Nemoxyz]

@alexcor io credo che le connessioni di cui parli siano di normale amministrazione. D'altra parte il decoder sarà protetto con password per cui chi vuoi che entri dentro ??? Potresti vedere se il servizio ssh si può stoppare sul decoder...ma secondo me stai esagerando in fatto di sicurezza e per un decoder non ne vale la pena. E' strana questa tua richiesta. Cmq così su 2 piedi non mi viene nulla se non il fatto di creare regole firewall su router dedicate. Ho dato una veloce lettura sul forum della openpli pare che ne parlino dell'argomento iptables, magari fatti un giro potrebbero darti una soluzione. Forse @Diamondear saprebbe veramente rispondere su questo argomento. ;)
Saluti.

[alexcor]

Ok grazie. Per quanto riguarda la tua osservazione non lo so se sia normale, ci saranno occhio e croce un centinaio di tentativi di accesso ogni giorno sul decoder e guardando gli ip sono indirizzi cinesi, russi, canadesi e cosi via...ovviamente c'è la pw ma non vorrei che con un brute force prima o poi qualcuno entri... Grazie cmq!

[Nemoxyz]

Io credo dipenda ehehe da quello che usi....sul tuo decoder....fai un traceroute degli ip da cui provengono questi tentativi e capisci di cosa si tratta.
Gli "addons" che usiamo...per il nostro divertimento sui nostri giocattolini...non sono tutto "rose e fiori" eheheh
Password imporanti sono difficili da bucare in tempi ristretti di uso del decoder...per cui puoi stare tranquillo. Se hai questo timore la devi cambiare spesso e sei a posto.
Ad ogni modo non voglio essere facilone...ma dico posso capire se devi proteggere un "server" importante...ma un decoder cosa hai dentro che è suscettibile di "assalto" ???
Attendo un intervento anche del mio amico @ManuTEK che può dire la sua senza dubbio e vedrai che ti dirà lo stesso od anche qualcosa in più di approfondito ;) !! Saluti.

[alexcor]

Ho immaginato la stessa cosa riguardo quello che hai scritto sulle prime due righe...
Ovviamente non è per il decoder in sè (anche se in un certo senso un dato sensibile ci potrebbe essere riguardo a quegli "addons"...)ma in generale era per evitare di ritrovarmi comunque qualcuno dentro la mia rete domestica visto che il decoder è pur sempre una distro linux....

Ha scritto dopo 3 minuti 15 secondi:
Piu in generale ho visto che una soluzione ci sarebbe con openssh che permette di mettere direttamente nel suo file di configurazione gli indirizzi ip permessi per l'ssh e il problema sarebbe risolto, ma il dec non me lo fa installare in quanto andrebbe in contrasto con Dropbear che gestisce l'ssh su openpli. Non trovo documentazione in rete su come fare la stessa cosa con dropbear...

[Nemoxyz]

Non credo ci siano problemi su questo fronte. Diciamo che l'uso del firewall sul router ceh scherma le porte dovrebbe essere sufficiente. Quello che vedi e noti ed avviene è una cosa voluta dal sistema che è in running. Se così fosse sarebbero tutti gli utenti del mondo in pericolo sniffaggio ip e porte!! :D:D Ad ogni modo vedevo che ci sta un file in etc/init.d/dropbear che pare gestisca il servizio in avvio automatico al boot. Vedi un po se ti è utile...lo ammetto non saprei come si può fare non mi è mai balenata in mente questa cosa ;) per cui mai affrontato l'argomento.

[alexcor]

beh grazie mille per esserti barcamenato cmq e aver cercato informazioni!grazie!!

Ha scritto dopo 45 secondi:

beh grazie mille per esserti barcamenato cmq e aver cercato informazioni! grazie!!

in realtà volevo taggare @Nemoxyz scusate!!

[Nemoxyz]

Di nulla per così poco!! :D sistemato...se trovo altro ti scrivo. ;) Se trovi soluzione fai sapere potrebbe essere utile ad altri eventualmente. Ciao!

[alexcor]

Ciao @Nemoxyz volevo aggiornarti con il fatto che ho trovato se non una soluzione ma quantomeno un workaround. Ho cambiato in uno dei file di dropbear l'impostazione della porta ssh ed ora i tentativi di accesso non autorizzati sono passati da un centinaio al giorno a un paio in tre giorni. Probabilmente erano script che scansionavano determinate porte standard provando a inserire pw di default. Ciao!

[Nemoxyz]

@alexcor meglio così indubbiamente !!! ci sarebbe da analizzare questo fatto più a fondo e capire se tali script sono esterni e mediati tramite i giochini fatti o sono insiti nel software a nostra insaputa...questo è un dilemma da capire...saluti