Intereting Posts
Почему пакет PPA не учитывается? Запустите команду с подстановочными знаками в каждом подкаталоге bash: ‘, когда тест хранится в переменной Как подключить тепловизионную камеру FLIR к Raspberry Pi? Установка SQL в Debian Jessie 8.0: «Не удалось найти пакет mysql», но sourcers.list уже настроен. В bash, как вызвать переменную и обернуть кавычки вокруг ее значения как часть команды, не заставляя имя переменной стать строковым литералом? xmessage over ssh Изменение названия без изменения приглашения на Cygwin Не удается установить / обновить пакеты на вновь установленном CentOS Почему Wine необходимо установить свой собственный экземпляр Mono, если в системе уже установлена ​​новая версия Mono? AWK: получить случайные строки файла, удовлетворяющие условию? Могут ли Systemctl перезапустить процессы, которые умерли, или это то, в которое входит Supervisor? Ubuntu: Невозможно связать свободный выход -lh с верхней командой ouput Я не могу установить «unifdef» на CentOS 6 Вывод строки в нижнем правом углу терминала

Будет ли это открывать нестандартный порт для ssh?

Я следую учебникам по iptable и хочу разрешить ssh-трафик на моем нестандартном SSH-порту = YYY. Я думаю, что так вы это делаете, но хотите дважды проверить, чтобы я не запирался на своем сервере. Это добавит правило как часть «входной цепочки» (я не уверен, что это такое). Правило будет принимать ssh-трафик на порт = YYY (разрешая tcp-трафик на порт = YYY). Правильно?

$sudo iptables -A INPUT -p tcp --dport YYY -j ACCEPT 

Это правило само по себе не будет блокировать вас, поскольку оно только приводит к принятию некоторого трафика.

Правильное правило разрешить трафик для порта YYY. Убедитесь, что ранее не было правила, которое блокирует весь трафик (правила обрабатываются по порядку, применяется первое соответствие). Запустите iptables -nvL INPUT чтобы перечислить правила ввода. INPUT – это название цепочки (то есть список правил), которая применяется к входящим пакетам.

Вы, вероятно, будете следовать правилу REJECT после этого, чтобы отклонить другой входящий трафик. Здесь вам нужно быть осторожным. Устанавливать некоторые порты брандмауэра только для подключения к локальной сети? содержит пример настройки брандмауэра, который должен быть подходящим (но используйте на свой страх и риск, я не стану и не перезагружаю ваш сервер, если вы заблокированы).

Убедитесь, что вы не блокируете вывод с сервера; для простой конфигурации, просто оставить вывод неограниченным.

Чтобы избежать блокировки, трюк заключается в том, чтобы поместить команду на сброс брандмауэра, который будет широко открыт на таймере, например

 sleep 300; iptables -I INPUT -j accept 

Я рекомендую делать это изнутри экрана или tmux. Если вы сделаете это непосредственно из ssh-соединения, существует риск того, что запущенная вами команда попытается вывести что-то и потерпеть неудачу, потому что его терминал больше не доступен.

Обратите внимание, что при установке SSH на нестандартный порт нет преимущества безопасности: он не сделает SSH менее подверженным атакам. Единственное преимущество заключается в том, что у вас будет меньше сканирующих атак, а значит, меньше наводнений ваших журналов.