Описание тега fescue

Это с точки зрения безопасности лучше иметь брандмауэр еще до запуска каких-либо приложений.

Поэтому вы, вероятно, лучше с помощью knockd. Таким образом, вы можете установить порт стучать последовательности, которая открывает СШ порт и закрывает ее по истечении заданного времени.

Пример конфигурации могут быть:

файл /etc/knockd.конф
[опции]
 логфайл = /ВАР/лог/knockd.журнал

[opencloseSSH]
 последовательность = 8081,8082,8083
 seq_timeout = 5
 tcpflags = Син
 start_command = выполнить /sbin/iptables в -я IN_external_allow -я enp0s8 -с %ИС% -п протокол tcp --dport 22 -J и прими
 cmd_timeout = 15
 stop_command = выполнить /sbin/iptables в -Д IN_external_allow -я enp0s8 -с %ИС% -п протокол tcp --dport 22 -J и прими

Если вы хотите получить в вы можете использовать что-то вроде:

НК -Ш 1 окружения myhost 8081
НК -Ш 1 окружения myhost 8082
НК -Ш 1 окружения myhost 8083
SSH пользователь@окружения myhost

Не надо иметь слушателей для указанных портов, поскольку мы проверяем только на Син пакеты. Надо хоть иметь открытые порты снаружи брандмауэра, поэтому пакеты могут достичь вашего хозяина. Вы также можете использовать более общие порты, такие как 80,25,443, который, скорее всего, будут уже открыты.

Эта последовательность должна быть завершена в течение 5 секунд в зависимости от конфигурации и после 15 секунд, порт будет закрыт. Существующие сеансы останется открытым, так что это безопасно для использования.

См. также http://www.zeroflux.org/projects/knock подробнее о том, как настроить это.