[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[FreeBSD]: sshd Zugriffsregeln mit pf vs hosts.allow (was: Re: FreeBSD - einige Fragen)

Subject: [FreeBSD]: sshd Zugriffsregeln mit pf vs hosts.allow (was: Re: FreeBSD - einige Fragen)
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Sun, 10 Feb 2013 12:44:07 +0100
To: uugrn@xxxxxxxxxxxxxxx

On Sun, Feb 10, 2013 at 09:58:37AM +0100, Peter Mueller wrote:
> block in quick on $if proto tcp from <sshguard> to any port 22

Ich kann deine Frage zu "pf" nicht beantworten, weil ich das nicht genau
kenne. Aber nur zum Blocken unerwuenschter Besucher / erzeugen einer
Whitelist, kann man unter FreeBSD auch einfache Regeln in
/etc/hosts.allow anlegen (hab ich grad noch auf
irc://irc.uugrn.org/uugrn/ geschrieben):

12:35 <@rabe> persoenliche meinung dazu: um ssh zu blocken braucht man keine firewall
12:35 <@rabe> unter freebsd ist der sshd idR mit tcpwrapper-support kompiliert
12:35 <@rabe> d.h. man kann seine allow/deny-Regeln in der Datei /etc/hosts.allow eintragen
-----------------------------------------
12:36 <@rabe> # UUGRN all
12:36 <@rabe> sshd : 164.177.171.1 : allow
12:36 <@rabe> sshd : .uugrn.org : allow
12:36 <@rabe> sshd : .gw-nat.bs.ka.oneandone.net : allow
12:36 <@rabe> sshd : 212.227.35.93 : allow
12:36 <@rabe> nur mal als beispiel
12:36 <@rabe> # Alle anderen: Wir muessen draussen bleiben
12:36 <@rabe> sshd : ALL : deny
-----------------------------------------
12:37 <@rabe> man kann sich also IP/DNS basiert eigene regeln bauen
12:37 <@rabe> ganz ohne firewalll
12:37 <@rabe> und der sshd (weil er tcpwrapper support hat) checkt bei jedem verbindungsaufbau diese regeln
12:37 <@rabe> ganz ohne firewall

Entscheidend ist, dass der sshd tcpwrapper versteht:

-------------------------------------------------------
[root@top3 ~]# ldd $(which sshd)
/usr/sbin/sshd:
        libssh.so.5 => /usr/lib/libssh.so.5 (0x800858000)
        libutil.so.9 => /lib/libutil.so.9 (0x800aa9000)
        libz.so.6 => /lib/libz.so.6 (0x800cbc000)
>>>>    libwrap.so.6 => /usr/lib/libwrap.so.6 (0x800ed0000) <<<<
        libpam.so.5 => /usr/lib/libpam.so.5 (0x8010d9000)
        [... viele mehr ...]
-------------------------------------------------------



Viele Gruesse
Raphael

-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/