Как пробросить SSH на нестандартный порт на OpenWRT при помощи iptables?

Question

[chifth]

Имеется вот такая конструкция в Custom Rules для защиты SSH от брутфорса:

#######SSH
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --name BLOCK --rcheck --seconds 600 -j DROP
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m hashlimit --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

Хочу повесить на нестандартный порт (например 2222).
Но когда добавляю правило

iptables -t nat -A zone_wan_prerouting -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.1:22

то правило блокировки не срабатывает.

Помогите :)

Answer 1

[krosh]

Если 192.168.1.1 это другой хост - замените INPUT на FORWARD. Все, что за пределами локального хоста, фильтруется в цепочке FORWARD.

Если 192.168.1.1 та же самая машина, то --dport 22 -> --dport 2222 в цепочке INPUT Только в этом случае не ясно, зачем использовать iptables, когда порт в настройках можно сменить.

Comments

[chifth]

Что-то не получается у меня.
Как правильно смотреть путь пакетов? Они сначала попадают в INPUT или Prerouting?
Чисто логически, мне надо отсеять попытки брутфорса НА ВХОДЕ (т.е WAN), а потом уже форвард на нужный внутренний IP или ACCEPT на самомроутере.
Но не могу понять в каком порядке писать правила.

Вот посмотрите (по вышеуказанной логике):

iptables -A INPUT -p tcp --dport 2222 -m conntrack --ctstate NEW -m recent --name BLOCK --rcheck --seconds 600 -j DROP

// если хост уже есть в таблице - дроп

iptables -A INPUT -p tcp --dport 2222 -m conntrack --ctstate NEW -m hashlimit --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP

// если ещё нету, но ломится больше 2 попыток в минуту - попадает в таблицу. дроп.

iptables -A INPUT -p tcp --syn --dport 2222 -j ACCEPT

//Если нет в таблице и не ломится - пропускаем.

iptables -t nat -A FORWARD -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.15:22

\\ Редирект на внутренний хост

[PatapoIIIka]

chifth, https://kkslinuxinfo.files.wordpress.com/2016/02/f...