Furbylife.ru

Мобильные технологии
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Подключение к роутеру через ssh

Как зайти в настройки роутера

Стандартные настройки украшают этикетку. Список содержит IP-адрес, логин, пароль. Откройте браузер, введите 192.168.0.1 (реже 192.168.1.1), админка позволит выполнить типовые настройки. Методика работает исключительно через локальные порты, включая интерфейс Wi-Fi. Поэтому войти может любой сосед, прохожий. Тщательно защищайте веб-интерфейс.

Извне доступ также имеется, однако доступ к роутеру следует прежде открыть. Реальная инструкция определяется производителем. Например, зайдя в настройки Smart Box Beeline, видим (раздел Об этом роутере) ссылку Разрешить. После перезагрузки оборудование попросит ввести IP-адрес (выбран порт 8080) управляющей станции. Доступны крайние варианты: любой (255.255.255.255), полный запрет (0.0.0.0). Значение порта можно (даже нужно) менять, избегая присвоения цифр, используемых стандартными службами.

Ограничения удалённого доступа

Любой ПК интернета получает уникальный IP. Согласно подсчётам, ограничение протокола IPv4 составляет 4 294 967 296 машин. Конфликт практически исключён. Однако маячит новое требование: маршрутизатор обязан иметь уникальный, видимый извне идентификатор.

Сетевой адрес присваивает владелец. Например, вид IP локальной сети чаще следующий: 168.0.Х

Извне посмотреть идентификатор компьютера прямыми методиками нельзя. Цифры содержит таблица маршрутизации, спрятанная оперативной памятью устройства. Однако пользователь извне легально конфигурацию получить бессилен. Хозяйские компьютеры, посетив специализированный сайт, определяющий IP, увидят идентичную картину. Цифры совпадают!

Аналогичным образом иногда провайдер отказывается давать абонентам уникальные комбинации. Вместо этого используется «серая» адресация. Тогда попасть в меню снаружи невозможно.

Заполучив «белый» адрес, подключаетесь извне, используя известные цифры. Проблема одна: большинство провайдеров после перезагрузки осуществляет повторное присваивание. Следовательно, текущую конфигурацию следует пристально отслеживать.

Штатный вариант

Удалённый доступ предварительно разрешают. Приведём список настроек:

  • Логин, пароль.
  • Порт подключения. Провайдер иногда блокирует самые распространённые порты атак. Часто страдает сервис ftp (21).
  • IP-адрес будущего администратора (либо тотальное разрешение всех вариантов путём выбора значения 255.255.255.255).

После этого из любой точки мира открывший браузер, набравший IP-адрес роутера, выставивший (через двоеточие порт) способен подключиться для настройки.

Лазейка

Энтузиасты предлагают обходной путь: установку специализированного обеспечения удалённого управления на ПК (наподобие Удалённого рабочего стола Windows). Например, Team Viewer. Процесс идёт опосредованно:

  1. Удалённо открываете рабочий стол собственного (включённого) ПК.
  2. Через браузер можете зайти в настройки.

Стандартный локальный (браузерный) вариант

Подключитесь кабелем к любому внутреннему порту (LAN), либо используйте беспроводной протокол (Wi-Fi):

  1. Заходите на страницу личного кабинета маршрутизатора, скормив соответствующий IP-адрес браузеру.
  2. Вводите логин/пароль.
  3. Выполняйте нужные действия.

Telnet

Протокол широко используется для организации двустороннего взаимодействия устройств. Иногда используют специальное приложение (Terminal), чаще – командную строку. Линуксоиды отрывают встроенный терминал среды (выше приведено название программы Windows). Соединение использует протокол TCP, ориентируется на байты длиной 8 бит (стандартные значения).

История

Telnet стал первым протоколом (1969), использованным создателями оборонной сети США. Описан документом RFC 15. Стандарт STD 8 (1983) снабдил компьютерщиков мощным средством общения. Оригинальное название образовано двумя словами:

Напомним, телетайпом называют удалённую печатную машину, управляемую цифровыми сигналами. Использование подобных ухищрений сильно экономит трафик, требуя минимальных затрат битрейта. В 1969 году компания BBN поставила 4 интерфейса связи (аналог роутера с программным управлением) армии США. 29 октября состоялся тест. История тщательно замалчивается, однако книга The computing universe: A journey through a revolution (Тони Хей, Гьюри Папай) раскрывает детали…

«Протокол взаимодействия гигантского вычислителя с сетевым интерфейсом связи разработан весной (1969) Робертом Каном (BBN Report 1822). В Лос-Анджелесе программной реализацией занялись избранные Кляйнроком студенты (Стив Крокер, Винт Серф, Джон Постел, Чарли Кляйн). Ребята находили забавным выполнение оборонного заказа в период обучения.

Программным обеспечением взаимной связи четырёх интерфейсов занялись также студенты, именовавшие себя Network Working Group, выпустившие серию заметок Requests for comments, ставшую началом семейства стандартов RFC (см. выше). Взаимодействие разнородных вычислителей потребовало введения общих соглашений, названных протоколом. Слово позаимствовано у древних греков, обозначало первый лист манускриптов, приводивший содержание, даты, имена авторов. Программисты обрисовали форматы заголовков.

Нижний слой протокола описывал структуру кадров. Первые приложения представляли собой консоли удалённого управления вычислителями. Попутно появился первый аналог FTP для пересылки файлов. Удалённое приложение получило новое название Telnet.»

Sigma-7 (Лос-Анджелес) послал первое слово (login) Scientific Data Systems 940 (Калифорния).

Использование

Читатели уже догадались: администратор через командную строку осуществляет подключение, повторяя опыт американских студентов 1969 года. Годится любая оболочка терминала, либо используйте штатную:

  1. Windows:
    • Меню Пуск.
    • Раздел Служебные.
    • Правый клик по Командная строка.
    • Запуск от имени администратора.
  2. Linux: Ctrl + Alt + T. Команды предваряйте префиксом sudo.

Примечание! Иногда компонент Windows, отвечающий за реализацию протокола, отключён. Задействуйте опцию. В строке поиска наберите «включение и отключение компонентов», найдите Клиент Telnet, установите галочку, жмите ОК.

Оставляйте после адреса пробел. Появится предложение ввести логин, пароль. Правильно ответит только маршрутизатор, поддерживающий протокол, например, DIR300 (последняя версия прошивки). Внешний вид интерфейса определяет разработчик, универсальной инструкции нет.

Примеры

Рассмотрим несколько примеров настройки и управления.

Zyxel

  1. Посетите раздел Система панели администратора модема Zyxel.
  2. Раздел Telnet.
  3. Установите галочку Включить, введите номер порта.
  4. Скачайте эмулятор терминала PuTTY.
  5. В разделе Сессия настроек программы введите IP-адрес, плюс номер порта. Выберите переключателем протокол Telnet.
  6. Входя в модем, введите логин, пароль (обычно admin).
  7. Режим настроек запускается вводом configure terminal.
  8. Полный список команд приводят официальные руководства.

Первый терминальный протокол посылал открытый текст. Хакеры легко перехватят трансляцию. Однако оборонная промышленность США была непуганым воробьём после запуска Гагарина. Злоумышленники появились много позже. Протокол прикладного уровня (иерархии OSI) SSH исправляет указанный недочёт. Оболочка формата клиент-сервер поддерживается практически исключительно профессиональными маршрутизаторами.

Читать еще:  Что такое мак адрес роутера

Передаваемые через интернет данные зашифрованы, чтобы хакеры не смогли перехватить процесс. Система SSH считается родной для UNIX-подобных систем, Билли Гейтс (2015) обещал ввести поддержку Windows.

История

Первая версия появилась после выхода Окон (1995): исследователя Университета технологий Хельсинки достали хакерские снифферы, выкрадывающие пароли. Telnet явно дал маху. Остальные протоколы – rlogin, ftp, rsh – мало помогали. Отсутствовала жёсткая система аутентификации.

Релиз июля 1995 распространялся совершенно свободно. Поэтому новый (1996) год встретили 20.000 новоиспечённых юзеров финского софта. Тату Йлёнен немедля создав сообщество. Последующие версии протокола стали проприетарными. Миллениум застал уже 2 млн. желающих засекретить учётные данные.

2006 год принёс миру вторую версию SSH. Новые алгоритмы эксплуатировали преимущества протокола Диффи-Хеллмана. Теперь админ мог запускать параллельно несколько сессий. Затею подхватил комитет RFC.

Параллельно предпринимались попытки разработать открытое ПО. Разработчики (1999) перетрясли версию 1.2.12. Идею подхватили создатели OpenBSD, снабдив очередной релиз (2.6) пристройкой OpenSSH. Наметилась тенденция переноса обеспечения в иные операционные системы. Сегодня разработка считается кросс-платформенной.

Пример

Теоретический аспект позиционирует SSH, как попытку найти защиту против хакерского вмешательства в роутер. Руководство TP-Link предлагает качать PuTTY. Доступно 2 метода авторизации:

SSH-связь следует предварительно разрешить. При невозможности физического контакта осуществите первичный вход через Telnet (введя команду ssh server). Список команд SSH приводит руководство роутера.

Внимание! Роутер должен поддерживать выбранный тип шифрования (AES, Archfour, 3DES, Blowfish…).

Парольный доступ

После установки разрешений открывайте терминал PuTTY:

  1. Настраивая сессию, введите IP-адрес, порт.
  2. Установите тип протокола SSH.
  3. Используйте команды, указанные руководством.

Публичный ключ

  1. Запустите генератор ключей из дистрибутива PuTTY.
  2. Выберите тип, длину (512-3072).
  3. Генерация потребует усилий оператора: хаотично перемещайте указатель мыши.
  4. Публичный, частный ключи сохраните на TFTP-сервере.

После этого публичный ключ можно скачать при наличии доступа. Например, используя консоль telnet. Получив ключ, сохраните файл, затем:

  1. Откройте терминал PuTTY.
  2. Введите IP-адрес роутера, номер порта.
  3. Потрудитесь настроить путь к файлу (раздел Соединение – SSH – Auth).
  4. Потребуется логин.
  5. Если не заходит – ключ отвергнут. Генерируйте новый, загружайте, качайте. Следует проверить путь папки, где находятся файлы ключей.

Фиаско

Не получается войти, не открываются настройки – выполните аппаратный сброс маршрутизатора.

  • Найдите отверстие Reset.
  • Спичкой нажмите кнопку, удерживайте несколько секунд.
  • Подождите.

Значения сброшенных параметров находятся на наклейке. Следует открыть браузер, перейти по указанному IP-адресу, ввести логин/пароль, настроить сеть должным образом.

Отказ роутера может возникать после неправильно проведённого обновления программного обеспечения: прервалось питание, либо проблема в Wi-Fi (обновлять следует только через провод). Тогда модуль становится грудой хлама. Имеются общедоступные инструкции восстановления работоспособности.

Официальный сайт ASUS снабжает покупателей утилитой Firmware Restoration (посетите страничку загрузок приобретённой модели).

  1. Выберите нужную версию операционной системы.
  2. Скачайте ПО, распакуйте архив.
  3. Подключитесь шнуром к роутеру.
  4. Выключите маршрутизатор.
  5. Нажмите кнопку Восстановление.
  6. Удерживайте 5 секунд.
  7. Не отпуская, включите прибор.
  8. Светодиод индикации питания должен начать медленно мигать.
  9. Откройте Свойства подключения (Центр управления сетями и общим доступом → Свойства адаптера).
  10. Установите IP-адрес IpV4 равным 192.168.1.10, маску подсети – 255.255.255.0.
  11. Запустите скачанную утилиту.
  12. Укажите локальный путь заливаемой прошивки (заблаговременно запаситесь свежей).
  13. Жмите Upload.
  14. Терпеливо пейте чай.
  15. Появится сообщение: Система успешно обновлена. Ждите окончания перезагрузки.
  16. Светодиод индикации питания начнёт стабильно гореть. Процесс восстановления окончен.

Zyxel поставляет Keenetic recovery utility. Постоянно выявляются новые методики третьих лиц. Настоящие проблемы начнутся у использовавших сотовый 4G…

Полный контроль над роутером ASUS из командной строки

Как получить полный контроль, над роутером ASUS с установленной оригинальной (заводской) прошивкой, через командную строку с помощью Telnet протокола доступа.

Для получения больших возможностей по настройке роутера многие тут-же прошивают роутер альтернативной прошивкой, такой как DDWRT, OpenWRT и другие. Но не всегда это оправдано. Вэб-интерфейс оригинальной прошивки может не содержать каких-то триггеров но в самой прошивки есть многие необходимые утилиты.

Значит, мы можем проделать все манипуляции над роутером с оригинальной (заводской) прошивкой, через командную строку с помощью Telnet протокола доступа.

Самый безопасный и мощный способ это использовать SSH протокол, но можно воспользоваться не безопасным Telnet так, как он имеется во всех роутерах ASUS.

Если вэб-интерфейс вашего роутера не имеет триггера для включения Telnet, то вам необходимо прочитать эту статью: «Как включить Telnet сервер на роутере ASUS».

Получение доступа к командной строке

Прежде всего вам нужно подключиться к роутеру используя любой Telnet клиент, например PuTTY или консольный клиент.

Домен, IP-адрес, логин и пароль такие же как в вэб-интерфейсе роутера.

  • IP-адрес — 192.168.1.1 (или тот который вы установили).
  • Домен — router.asus.com (стандартный для ASUS роутеров)
  • Порт — 23 (стандартный для Telnet протокола).
  • Имя пользователя (логин) — admin (стандартный для ASUS роутеров).
  • Пароль — тот который вы установили (стандартный для ASUS роутеров — admin ).

Для подключения с помощью консольного клиента:

Подключитесь к роутеру по протоколу доступа Telnet:

Для авторизации используйте логин и пароль такие же как в вэб-интерфейсе роутера:

Поздравляю, теперь вы в командной строке Linux роутер!

В роутере

Теперь вы в командной строке Linux роутера ASUS.

Читать еще:  Джсм роутер с внешней антенной

В общем, Linux роутер очень похож на Debian но имеет некоторые особенности. Начну с общего.

Показать информацию о железе и прошивке роутера можно так:

Показать все примонтированные разделы, можно так:

Как вы видите squashfs раздел примонтирован с параметром ro то есть только на чтение. Но, ramfs ( /var ) примонтирован с параметром rw то есть чтение и запись. Значит, мы можем создавать и удалять файлы в этой директории. Но после перезагрузки всё будет как раньше, а новые файлы будут удалены.

Все загрузочные скрипты находятся в директории /etc/init.d/ .

Это место находится на разделе подключённом в режиме только чтения, поэтому вы не можете добавлять свои скрипты сюда.

На роутере установлен BusyBox. BusyBox — это набор UNIX утилит командной строки, который используется в качестве основного интерфейса во встраиваемых операционных систем. В различных версиях и сборках он содержит различное количество утилит.

Для того, чтобы получить список команд, поддерживаемых данным экземпляром BusyBox, запустите его без каких-либо аргументов или используйте опцию —list :

Для того, что бы узнать о том, что делают отдельные команды, используйте опцию —help в сочетании с этой командой:

Но не все программы в прошивке являются частью BusyBox. Поэтому может потребоваться просмотреть список всех программ:

Если в списке вы видите что-то похожее на […] -> busybox то эта программа является частью BusyBox.

Если нет нужной вам программы, то вы можете скачать её из интернета (или создать его путем кросс-компиляции) и положить в временный каталог ( /tmp/ ). Также вы можете скачать полную версию BusyBox с официального сайта (http://www.busybox.net) и поместить его в временный каталог ( /tmp/ ). Но, как я писал выше, после перезагрузки всё будет как раньше и новые файлы будут удалены.

К примеру, в моём роутере, встроенный BusyBox (v1.13.4) не содержит редактор vi или nano .

NVRAM

А теперь про особенности о которых Я писал выше. Все настройки роутера (настройки изменяемые через веб-интерфейс, пользовательские настройки, загрузочные скрипты) хранятся в энергонезависимый памяти — NVRAM (Non Volatile Random Access Memory). Существует специальная команда для работы с этой памятью — flash и она уже установлена в оригинальную прошивку.

Его можно запустить без аргументов для того, чтобы увидеть все опции:

Как вы можете видеть есть несколько опций. Аббревиатура hw означает — оборудование (железо).

Все настройки хранятся в переменных.

Показать все переменные:

И многие другие переменные.

Примечание: Все переменные начинающиеся с префикса DEF_ имеют значение по умолчанию (исходная конфигурация). Она включается при нажатии кнопки Reset на корпусе роутера или из веб-интерфейса роутера или с помощью команды flash в терминале.

Примечание: Не все из перечисленных переменных работают.Такие переменные как SAMBA_ENABLED=0 не работают, из-за того, что Samba не установлен.

Для того, чтобы найти переменные с словом NAME , используйте команду flash совместно с grep :

Примечание: Имена всех переменных записываются в верхнем регистре.

Показать значение определенной переменной (например, имя администратора):

Установить новое значение переменной (например, имя администратора):

Теперь у вас есть новое имя администратора (логин), а это повышает безопасность.

Но для того, что бы изменения вступили в силу необходимо перезагрузить роутер:

Если необходимо вернуть все заводские параметры (сброс к изначальным настройкам):

Как пользоваться PuTTY для SSH-подключений

PuTTY — популярный клиент для удаленного подключения.
Скачать его можно на официальном сайте PuTTY. Для подключения по SSH с помощью PuTTY воспользуйтесь инструкцией:

Генерация SSH-ключей

Откройте приложение PuTTYgen

В открывшемся окне можно задать тип ключа шифрования и битность, либо оставить настройки по умолчанию.

Нажмите кнопку «generate», чтобы начать генерацию ключа.

Хаотично двигайте мышкой по области окна программы. Это поможет сгенерировать случайные значения в ключевой паре.

После генерации станет доступен созданный ключ:

В этом окне можно задать дополнительные настройки:
— подписать комментарий к паре ключей (в поле «Key comment:») — удобно, чтобы отличать ключи, если вы используете несколько пар
— задать для ключа пароль (в поле «Key passphrase:» и «Confim passphrase:»). Это обеспечит дополнительную безопасность — даже в случае краже ключа сервер будет недоступен без ввода пароля. Пароль недоступен для восстановления в случае утери.

Cохраните приватный и публичный ключи. Публичный ключ устанавливается на сервер, к которому нужно выполнить подключении — по аналогии с замком. Приватный ключ используется с подключающейся стороны.

Кнопка «Save private key» сохраняет приватный ключ в формате .ppk. Для использования на виртуальных серверах, сохраните ключ под текстом «Public key for pasting into OpenSSH authorized_keys file:»

Конвертация ключа PuTTY

PuTTy использует собственный формат ключей. Поэтому если вы сгенерировали приватный ключ в личном кабинете Airnode (при помощи OpenStack) или в другой программе, а подключение к виртуальному серверу хотите делать через Putty, необходимо конвертировать приватный ключ.

Откройте приложение «PuTTYgen».

Нажмите «conversation» и выберите «Import key».

Выберите фаил с ключом и откройте его.

После этого сохраните преобразованный приватный ключ с помощью кнопки «Save private key».

Также доступна обратная процедура — если вы захотите сменить SSH-агент с PuTTy на любой другой, нужно сконвертировать ключ в формат OpenSSH.
Для этого используйте меню «Conversions / Import key»:

Как подключиться к серверу с помощью PuTTY

Запустите PuTTY (putty.exe)

Читать еще:  Wi fi роутер gpon

Настройте новую сессию: в поле «Host Name (or IP address)» введите IP-адрес удаленного сервера, или его имя. Укажите порт службы SSH вашего сервера в поле “Port” (по умолчанию используется порт 22).

Выберем ключи для авторизации. Для этого перейдите в раздел «SSH/Auth».Нажмите «Browse» и выберите приватный ключ, сохранённый ранее.

Cохраним настройки сессии, чтобы не задавать их заново при повторных подключениях. Перейдите обратно в раздел «Session». В поле «Saved Session» задайте новое имя для сессии и нажмите «Save».

Нажмите «Open», чтобы подключиться к северу.

Может открыться предупреждение системы безопасности. Если вы доверяете хосту, нажмите «Да».

Откроется командная строка. В ней введите имя пользователя и, если потребуется, пароль.

Если вы подключаетесь к серверу, созданному в дата-центре Airnode на основе готового образы, то в качестве имени пользователя используйте имя операционной системы.Например: debian, centos, ubuntu. Пароль при этом не требуется.

Доступ к роутеру извне по ssh

Данные прошивки имеют встроенный telnet и ssh серверы, так что для их запуска достаточно зайти в web-интерфейс и в меню System Setup->Services изменить значения Enable SSH access=Yes, а Enable telnet access=No. Также там можно поменять порт ssh по умолчанию (22), на какой-либо другой. В качестве ssh-сервера на роутере используется dropbear : http://matt.ucc.asn.au/dropbear/dropbear.html

Генерируем ключи:
mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_hos t_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_hos t_key

Данная прошивка при выполнении некоторых действий пытается исполнить следующие файлы:
* /usr/local/sbin/pre-boot — исполняется до основной инициализации, в момент, когда ещё не подгружены никакие модули ядра, но уже развёрнут flashfs и скопирован начальный образ для /etc из /usr/etc.
* /usr/local/sbin/post-boot — исполняется после того, как устройство закончило загрузку и запустило все сервисы, за исключением связанных с веб-камерой и usb дисками (они запустятся примерно через 10 секунд после этого при «обработке» hot plug событий, когда АСУСовский обработчик до них доберётся)
* /usr/local/sbin/post-mount — отрабатывает, когда устройство завершает монтирование usb дисков, с тем чтобы Вы могли запустить свои сервисы, которые эти диски используют
* /usr/local/sbin/pre-shutdown — работает перед перезагрузкой системы
* /usr/local/sbin/post-firewall — исполняется всякий раз, после того как устройство меняет внутренние правила с помощью команд iptables, с тем, чтобы Вы могли внести свои изменения в firewall

Однако, изначально эти файлы не созданы. Создаём их:
mkdir -p /usr/local/sbin/
touch /usr/local/sbin/pre-boot
touch /usr/local/sbin/post-boot
touch /usr/local/sbin/post-firewall
touch /usr/local/sbin/post-mount
touch /usr/local/sbin/pre-mount
touch /usr/local/sbin/pre-shutdown
chmod +x /usr/local/sbin/*

Чтобы dropbear стартовал после ребута, добавляем строки в post-boot:
echo «#!/bin/sh» >> /usr/local/sbin/post-boot
echo «dropbear» >> /usr/local/sbin/post-boot

dropbear может быть запущен и не только на порту по умолчанию (т.е. 22), но и на любом другом. Для запуска на порту 24853 строка в post-boot должна выглядеть так:
dropbear -p 24853

После чего сохраняем изменения и делаем рестарт роутера:
flashfs save && flashfs commit && flashfs enable && reboot

После перезагрузки проверяем есть ли процесс dropbear в выводе команды ps.

После этих простых действий мы уже можем подключиться к роутеру по ssh снаружи. Однако, так как теперь этот порт доступен всему интернету, стоит позаботиться о безопасности. Попробуем настроить «белый» и «чёрный» списки так, как это описано вот здесь: http://wl500g.info/showpost.php?p=69964&postcount=63

Идём в папку с созданными нами скриптами:
cd /usr/local/sbin/

И редактируем файл post-firewall, добавляя следующее:
#!/bin/sh
PATH=/sbin:/bin:/usr/sbin:usr/bin:/opt/s bin:/opt/bin:/opt/local/bin

logger «post-firewall started»

# set default policy
iptables -P INPUT DROP

# remove last default rule
iptables -D INPUT -j DROP

# ***ssh subsection begin***
SSH_PORT=22
SSH_ALLOW=/usr/local/etc/ssh.allow
SSH_DENY=/usr/local/etc/ssh.deny

# Create a new SSH_EVAL chain which will evaluate incoming connections to ssh server from WAN
iptables -N SSH_EVAL

# Transfer all ssh connections to the SSH_EVAL chain
iptables -A INPUT -p tcp —dport $SSH_PORT -j SSH_EVAL

# Evaluate incoming ssh connections through ssh.allow and ssh.deny lists
for i in `awk ‘‘ $SSH_ALLOW`
do
iptables -A SSH_EVAL -p tcp —syn -s $i —dport $SSH_PORT -j ACCEPT
done
for i in `awk ‘‘ $SSH_DENY`
do
iptables -A SSH_EVAL -p tcp —syn -s $i —dport $SSH_PORT -j DROP
done

# Block annoying intruder’s attemtps (after —hitcount connections occured, wait —seconds after the last connection attempt)
# Remember, that both successful and unsuccessful connections are counted
iptables -A SSH_EVAL -i ! $3 -p tcp -m state —state NEW —dport $SSH_PORT -m recent —set —name SSH_ATTACKER —rsource
iptables -A SSH_EVAL -i ! $3 -p tcp -m state —state NEW —dport $SSH_PORT -m recent —update —seconds 600 —hitcount 4 —name SSH_ATTACKER —rsource -j DROP

# Accept the rest of ssh connections which were able to pass through the filtering
iptables -A SSH_EVAL -p tcp —syn —dport $SSH_PORT -j ACCEPT
# ***ssh subsection end***
Создаём файлы с «белым» и «чёрным» списками:
touch /usr/local/etc/ssh.allow
touch /usr/local/etc/ssh.deny

Заполняем их следуюшим образом:
12.34.56.78 разрешить / запретить доступ с одиночного IP
87.65.43.0 / 24 разрешить / запретить доступ с подсетки
адрес стоит в начале строки, потом пробел, потом любой комментарий.

Для работы модуль ipt_recent.o должен быть загружен в файле /usr/local/sbin/pre-boot:
echo «#!/bin/sh» >> /usr/local/sbin/pre-boot
echo «insmod ipt_recent» >> /usr/local/sbin/pre-boot

Как всегда, сохраняем изменения и делаем рестарт роутера:
flashfs save && flashfs commit && flashfs enable && reboot

Ссылка на основную публикацию
Adblock
detector
×
×