Я пытаюсь заставить службу стука порта работать на моем Raspberry Pi. Я отредактировал свои правила iptables, чтобы заблокировать входящий трафик, но я все еще могу ssh в пи из моего macbook. Я НЕ должен быть в состоянии сделать это, если я правильно понимаю правила iptables.
Мой pi фактически заблокировал ssh, когда я тестировал свою конфигурацию iptables. Но после того, как я установил knockd и запустил службу, я снова могу ssh без проблем .... хотя это противоположно тому, что должно произойти.
от моего пи:
sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
nano /etc/iptables/rules.v4
# Generated by iptables-save v1.4.21 on Wed May 4 23:53:23 2016
*filter
:INPUT DROP [469:58510]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1788:276430]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Wed May 4 23:53:23 2016
Из моего macbook, после того как я закрыл сессию, чтобы он не попадал в правило ESTABLISHED
ssh user@pi.local
user@pi.local's password:
# enter password and it logs me in
РЕДАКТИРОВАТЬ
На самом деле, ни одно из моих правил iptables не соблюдается. Я заблокировал буквально все и до сих пор получаю приглашение войти в ssh; Я даже получаю страницу индекса Apache bullcrap от сервера, когда я иду на этот IP в браузере.
sudo iptables -F
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
О, чтобы пнуть ребенка ...