pptpd+iptables

[Enkil]

Добрый день!
прошу подсказать где я допуская ошибку,а то давно с никсами не работал и сам что-то найти не могу.

имеем

 uname -a

(Нажмите, чтобы показать/скрыть)

Linux XXXX-access 2.6.35-22-server #33-Ubuntu SMP Sun Sep 19 20:48:58 UTC 2010 x86_64 GNU/Linux

 cat /etc/pptpd.conf

(Нажмите, чтобы показать/скрыть)

option /etc/ppp/pptpd-options
debug
stimeout 10
logwtmp
bcrelay eth0
# speed 115200
localip 192.168.3.15
remoteip 192.168.3.100-150

cat /etc/ppp/pptpd-options

(Нажмите, чтобы показать/скрыть)

domain XXXX.local
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.3.7
ms-wins 192.168.3.7
proxyarp
nodefaultroute
debug
logfile /var/log/pptpd.log
lock
nobsdcomp
novj
novjccomp

plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1  --domain=XXXXX --r   equire-membership-of=S-1-5-21-1705847696-824659198-924725345-9185"

cat \home\%USERNAME%\fw-rules

(Нажмите, чтобы показать/скрыть)

!/bin/bash

iptables -F
iptables -X
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -X
iptables -t filter -X
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT --proto tcp --dport 443 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
iptables -A FORWARD --proto tcp --dport 443 -j ACCEPT
iptables -A INPUT --proto tcp --dport 22 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 22 -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT

cat /etc/apache2/apache2.conf

(Нажмите, чтобы показать/скрыть)

LockFile ${APACHE_LOCK_DIR}/accept.lock
PidFile ${APACHE_PID_FILE}
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15

<IfModule mpm_prefork_module>
    StartServers          5
    MinSpareServers       5
    MaxSpareServers      10
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

<IfModule mpm_worker_module>
    StartServers          2
    MinSpareThreads      25
    MaxSpareThreads      75
    ThreadLimit          64
    ThreadsPerChild      25
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

<IfModule mpm_event_module>
    StartServers          2
    MaxClients          150
    MinSpareThreads      25
    MaxSpareThreads      75
    ThreadLimit          64
    ThreadsPerChild      25
    MaxRequestsPerChild   0
</IfModule>

User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}

AccessFileName .htaccess

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

ServerAdmin webmaster@XXXX.com
UseCanonicalName Off
ServerSignature Off
HostnameLookups Off
ServerTokens Prod
DefaultType text/plain
HostnameLookups Off

Include mods-enabled/*.load
Include mods-enabled/*.conf

ErrorLog ${APACHE_LOG_DIR}/error.log
LogLevel warn
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_comb$
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLMutex file:/var/log/apache2/ssl_mutex
SSLRandomSeed startup file:/dev/urandom 1024
SSLRandomSeed connect file:/dev/urandom 1024
SSLSessionCache shm:/var/log/apache2/ssl_cache_shm
SSLSessionCacheTimeout 600
SSLPassPhraseDialog builtin

Listen 443

        <VirtualHost 192.168.3.15:443>
                ServerName 192.168.3.15
                DocumentRoot /var/www/rproxy

                                <Proxy *>
                                        AllowOverride None
                                        order allow,deny
                                        allow from all
                                        AuthName "Please Enter EmailAdress/Password"
                                        AuthType Basic
                                        AuthBasicProvider ldap
                                        AuthLDAPURL       ldap://192.168.3.19/o=XXXX?mail

                                        require ldap-filter mail=user1@domain
                                        require ldap-filter mail=user2@domain
                                </Proxy>

                SSLEngine on
                SSLOptions +StrictRequire
                SSLVerifyClient none
                SSLProxyEngine on

                SSLCertificateFile /etc/apache2/ssl/ssl.crt/XXXX_1
                SSLCertificateKeyFile /etc/apache2/ssl/ssl.key/XXXXX-1

                ProxyRequests Off
                ProxyPass / https://192.168.3.19/
                ProxyPassReverse / https://192.168.3.19/
        </VirtualHost>


        <VirtualHost 192.168.3.16:443>
                ServerName 192.168.3.16
                DocumentRoot /var/www/rproxy

                                <Proxy *>
                                        AllowOverride None
                                        order allow,deny
                                        allow from all
                                        AuthName "Please Enter EmailAdress/Password"
                                        AuthType Basic
                                        AuthBasicProvider ldap
                                        AuthLDAPURL       ldap://192.168.3.19/o=XXX?mail

                                        require ldap-filter mail=user1@domain
                                        require ldap-filter mail=user2@domain
                                </Proxy>

                SSLEngine on
                SSLOptions +StrictRequire
                SSLVerifyClient none
                SSLProxyEngine on

                SSLCertificateFile /etc/apache2/ssl/ssl.crt/XXXX_2
                SSLCertificateKeyFile /etc/apache2/ssl/ssl.key/XXXX-2

                ProxyRequests Off
                ProxyPass / https://XXXX-online/
                ProxyPassReverse / https://XXXX-online/
        </VirtualHost>

cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.3.15
        netmask 255.255.255.0
        network 192.168.3.0
        broadcast 192.168.3.255
        gateway 192.168.3.10
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.3.7 192.168.3.8
        dns-search XXXXXX.local

auto eth0:0
iface eth0:0 inet static
        address 192.168.3.16
        netmask 255.255.255.0
        network 192.168.3.0
        broadcast 192.168.3.255
        gateway 192.168.3.10
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.3.7 192.168.3.8
        dns-search XXXXX.local

Задача:
1. обратный прокси для двух https-сайтов -  done
2. vpn-сервер для Windows-клиентов с авторизацией в AD.  - done
3. закрыть все порты, кроме ssh, https, vpn

Проблема:
если правила iptables оставлять дефолтными(т.е. пустыми), то все работает прекрасно
если еж использовать скрипт fw-rules, то пока ребут сервера не сделаешь, к нему есть только локальный доступ.

Подскажите как правильно написать правила для фаервола и где я ошибаюсь на текущий момент

[xeon_greg]

как минимум в настройках фаервола нет правил для локального интерфейса, те сам сервер от себя ничего никому не пошлет, надо добавить что-то типа этого

Код: [Выделить]

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT


[Enkil]

добавил, не помогло.
при применении

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

iptables -F
iptables -X
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -X
iptables -t filter -X
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT --proto tcp --dport 443 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
iptables -A FORWARD --proto tcp --dport 443 -j ACCEPT
iptables -A INPUT --proto tcp --dport 22 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 22 -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT

теряется связь с сервером, в том числе и по ssh/https/vpn

[fisher74]

На этом форуме уже говорили, что "-P OUTPUT DROP" - не лучшая идея. А если уж использовать это правило, то чётко представлять как будет работать система.
А связь с сервером пропадает, потому что нет

Код: [Выделить]

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(есть и другие варианты)

И вопрос:

iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
...
iptables -A OUTPUT --proto tcp --dport 22 -j ACCEPT

С сервера нужно ходить по https и ssh? Если нет, то эти правила лишние.

[Enkil]

добавил

Код: [Выделить]

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
https заработал, vpn нет

по впну - раньше подключения не происходило, теперь стопор на проверке имени пользователя и пароля(удаленный сервер не ответил во время) - думаю потому что надо еще открыть порт для возможности подключиться к домену и прочитать группу безопасности, члены которой могут подключаться.

Код: [Выделить]

iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
...
iptables -A OUTPUT --proto tcp --dport 22 -j ACCEPT

443 нужен, т.к. обратный прокси после аутентификации прокидывает запрос далее тоже по 443, 22 не нужен -убрал, спасибо

[xeon_greg]

когда подымается впн у тебя появляется еще один интерфейс скорее всего ppp0, для него тоже необходимо добавить правила. что там в этом туннеле будет ходить...
для работы AD необходимо открыть
    * TCP и UDP порт 88 для Kerberos авторизации.
    * TCP и UDP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
    * TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
    * TCP и UDP порт 389 для LDAP запросов от клиента к серверу.
    * TCP и UDP порт 445 для File Replication Service
    * TCP и UDP порт464 для смены пароля Kerberos
    * TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
    * TCP и UDP порт 53 для DNS запросов

[Enkil]

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

iptables -F
iptables -X
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -X
iptables -t filter -X
iptables -t mangle -X

#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT --proto tcp --dport 443 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
iptables -A FORWARD --proto tcp --dport 443 -j ACCEPT

iptables -A INPUT --proto tcp --dport 22 -j ACCEPT

iptables -A INPUT --proto tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 53 -j ACCEPT

iptables -A INPUT --proto tcp --dport 139 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 139 -j ACCEPT

iptables -A INPUT --proto tcp --dport 445 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 445 -j ACCEPT

обратный прокси по 443 работает, впн нет. ребутаю сервер - виндовый впн-клинет нормально подключатеся, включаю правила - не может.

[xeon_greg]

iptables -A INPUT --proto tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 53 -j ACCEPT

iptables -A INPUT --proto tcp --dport 139 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 139 -j ACCEPT

а UDP протокол кто за тебя открывать будет и вообще для начала , для простоты настройки политику на OUTPUT  установи ACCEPT, поскольку ты не сильно разбираешься что и на какой порт ходит, это гораздо облегчит жизнь, потом закрыть всегда успееш

[Enkil]

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

iptables -F
iptables -X
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -X
iptables -t filter -X
iptables -t mangle -X

#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT --proto tcp --dport 443 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
iptables -A FORWARD --proto tcp --dport 443 -j ACCEPT

iptables -A INPUT --proto tcp --dport 22 -j ACCEPT

iptables -A INPUT --proto tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 53 -j ACCEPT

iptables -A INPUT --proto tcp --dport 139 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 139 -j ACCEPT

iptables -A INPUT --proto tcp --dport 445 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 445 -j ACCEPT

iptables -A INPUT --proto udp --dport 53 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 53 -j ACCEPT

iptables -A INPUT --proto udp --dport 139 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 139 -j ACCEPT

iptables -A INPUT --proto udp --dport 445 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 445 -j ACCEPT

iptables -A INPUT --proto tcp --dport 88 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 88 -j ACCEPT

iptables -A INPUT --proto tcp --dport 135 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 135 -j ACCEPT

iptables -A INPUT --proto tcp --dport 389 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 389 -j ACCEPT

iptables -A INPUT --proto tcp --dport 3268 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 3268 -j ACCEPT

iptables -A INPUT --proto tcp --dport 3269 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 3269 -j ACCEPT

iptables -A INPUT --proto udp --dport 88 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 88 -j ACCEPT

iptables -A INPUT --proto udp --dport 135 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 135 -j ACCEPT

iptables -A INPUT --proto udp --dport 389 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 389 -j ACCEPT

iptables -A INPUT --proto udp --dport 3268 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 3268 -j ACCEPT

iptables -A INPUT --proto udp --dport 3269 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 3269 -j ACCEPT

ошибка 800, впн-сервер не доступен

[Unreg]

sudo iptables-save под спойлер

[es1840]

Попробуйте вот так ( в принципе, у вас не открыт порт PPTP (port 1723)

Код: [Выделить]

/sbin/iptables -A INPUT -i интерфейс -p tcp -s IP_VPN_сервера --sport 1723 -j ACCEPT
/sbin/iptables -A OUTPUT -o интерфейс -d IP_VPN_сервера -j ACCEPT
/sbin/iptables -A INPUT -i интерфейс -p gre -s IP_VPN_сервера -j ACCEPT
В общем, где-то так, на правильность не претендует...

[Enkil]

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Feb  2 16:55:26 2011
*nat
:PREROUTING ACCEPT [12595:1566251]
:OUTPUT ACCEPT [98:12758]
:POSTROUTING ACCEPT [1:266]
COMMIT
# Completed on Wed Feb  2 16:55:26 2011
# Generated by iptables-save v1.4.4 on Wed Feb  2 16:55:26 2011
*mangle
:PREROUTING ACCEPT [13687:1672266]
:INPUT ACCEPT [13586:1660845]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1095:160250]
:POSTROUTING ACCEPT [992:147206]
COMMIT
# Completed on Wed Feb  2 16:55:26 2011
# Generated by iptables-save v1.4.4 on Wed Feb  2 16:55:26 2011
*filter
:INPUT DROP [12020:1502169]
:FORWARD DROP [0:0]
:OUTPUT DROP [93:11792]
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 139 -j ACCEPT
-A INPUT -p udp -m udp --dport 445 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 88 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 135 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3268 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3269 -j ACCEPT
-A INPUT -p udp -m udp --dport 88 -j ACCEPT
-A INPUT -p udp -m udp --dport 135 -j ACCEPT
-A INPUT -p udp -m udp --dport 389 -j ACCEPT
-A INPUT -p udp -m udp --dport 3268 -j ACCEPT
-A INPUT -p udp -m udp --dport 3269 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 139 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 445 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 88 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 135 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 389 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3268 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3269 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 88 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 135 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 389 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 3268 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 3269 -j ACCEPT
COMMIT
# Completed on Wed Feb  2 16:55:26 2011

1723 - открыт, смотрите в начале.

если все политик выставить в ACCEPT, то работает, что логично, теперь надо сделать что бы все было запрещено кроме необходимого минимум.

Спасибо, помогающим!

[Unreg]

Код: [Выделить]

sudo iptables -P OUTPUT ACCEPT

[censor]

для начала как советуют разреши все исходящие, так локализовать проблему с входящими подлючениями будет проще. политику для форвард на время тестирования лучше тоже выставить в ACCEPT

[Enkil]

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

iptables -F
iptables -X
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -X
iptables -t filter -X
iptables -t mangle -X

#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT --proto tcp --dport 443 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 443 -j ACCEPT
iptables -A FORWARD --proto tcp --dport 443 -j ACCEPT

iptables -A INPUT --proto tcp --dport 22 -j ACCEPT

iptables -A INPUT --proto tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 53 -j ACCEPT

iptables -A INPUT --proto tcp --dport 139 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 139 -j ACCEPT

iptables -A INPUT --proto tcp --dport 445 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 445 -j ACCEPT

iptables -A INPUT --proto udp --dport 53 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 53 -j ACCEPT

iptables -A INPUT --proto udp --dport 139 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 139 -j ACCEPT

iptables -A INPUT --proto udp --dport 445 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 445 -j ACCEPT

iptables -A INPUT --proto tcp --dport 88 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 88 -j ACCEPT

iptables -A INPUT --proto tcp --dport 135 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 135 -j ACCEPT

iptables -A INPUT --proto tcp --dport 389 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 389 -j ACCEPT

iptables -A INPUT --proto tcp --dport 3268 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 3268 -j ACCEPT

iptables -A INPUT --proto tcp --dport 3269 -j ACCEPT
iptables -A OUTPUT --proto tcp --dport 3269 -j ACCEPT

iptables -A INPUT --proto udp --dport 88 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 88 -j ACCEPT

iptables -A INPUT --proto udp --dport 135 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 135 -j ACCEPT

iptables -A INPUT --proto udp --dport 389 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 389 -j ACCEPT

iptables -A INPUT --proto udp --dport 3268 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 3268 -j ACCEPT

iptables -A INPUT --proto udp --dport 3269 -j ACCEPT
iptables -A OUTPUT --proto udp --dport 3269 -j ACCEPT

443 - да
впн - нет

чтото я теряюсь уже))