Тонкая настройка Iptables для VPN

[Kisliy]

Здравствуйте! Настраиваю VPN SoftEther на VPS в Ubuntu v20, так ли будет он работать как я задумал? Подправьте пожалуйста, если что не очень получилось или пропущено! Собственно, мой «неподступный бастион»: интерфейсы системы: lo - 127.0.0.1/8;   eth0 - айпи сервера/27;   tap_tap_virtual - 192.168.10.1/24

iptables -P PREROUTING ACCEPT

iptables -P INPUT DROP
1. iptables -A INPUT -i lo -j ACCEPT
2. iptables -A INPUT -i eth0 -s айпи сервера -m conntrack --ctstate NEW,INVALID,ESTABLISHED,RELATED,SNAT,DNAT -j ACCEPT
3. iptables -A INPUT -i tap_tap_virtual -s 192.168.10.0/24 -j ACCEPT
4. iptables -A INPUT -i eth0 -s айпи домашнего компа -m conntrack --ctstate NEW,INVALID,ESTABLISHED,RELATED,SNAT,DNAT -j ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P POSTROUTING ACCEPT
iptables -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

Вот что задумано в таблице INPUT:
1. Обеспечение работы виртуального сервера от физического.
2. Разрешаю входящие пакеты на физический интерфейс от самого виртуального сервера (удалённое использование браузера, установка обновлений системы и приложений).
3. Разрешаю входящие пакеты на виртуальный интерфейс от удалённых компьютеров локальной сети.
4. Разрешаю входящие пакеты на физический интерфейс только от моего домашнего компа (администрирование, любые протоколы и т. д.).
Помимо ещё остались вопросы:
5. VNC через браузерную панель управления VPS по каким сетевым правилам будет работать?
6. Протоколы и порты я не указывал, сойдёт такой подход?
7. Возможен ли брутфорс или другие ddos атаки на мой сервер с таким настойками?
8. Можно ли получить от моего сервера какую-нибудь информацию, например с помощью Active Probing?

[AnrDaemon]

iptables-save показывайте. Так будет яснее.
Пользователь добавил сообщение 21 Марта 2024, 11:35:19:И для затравки -

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:10:00:ee:11:13 brd ff:ff:ff:ff:ff:ff
    inet 193.124.191.17/21 brd 193.124.191.255 scope global eth0
       valid_lft forever preferred_lft forever
3: lxcbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:16:3e:00:00:00 brd ff:ff:ff:ff:ff:ff
    inet 192.168.18.1/24 scope global lxcbr0
       valid_lft forever preferred_lft forever
7: veth96332R@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master lxcbr0 state UP group default qlen 1000
    link/ether fe:6b:ed:06:d1:58 brd ff:ff:ff:ff:ff:ff
12: vethLVUUSR@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master lxcbr0 state UP group default qlen 1000
    link/ether fe:a8:29:e5:7a:2f brd ff:ff:ff:ff:ff:ff

# iptables-save
# Generated by iptables-save v1.4.21 on Thu Mar 21 11:31:57 2024
*mangle
:PREROUTING ACCEPT [1836158:465756477]
:INPUT ACCEPT [1067293:328671713]
:FORWARD ACCEPT [768843:137072126]
:OUTPUT ACCEPT [1037926:1091343993]
:POSTROUTING ACCEPT [1806769:1228416119]
-A POSTROUTING -o lxcbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Thu Mar 21 11:31:57 2024
# Generated by iptables-save v1.4.21 on Thu Mar 21 11:31:57 2024
*nat
:PREROUTING ACCEPT [156999:7372671]
:INPUT ACCEPT [137678:6157380]
:OUTPUT ACCEPT [71003:5918955]
:POSTROUTING ACCEPT [63981:4114065]
:inet-pre - [0:0]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i eth0 -j inet-pre
-A POSTROUTING -o eth0 -j SNAT --to-source 193.124.191.17
-A POSTROUTING -s 192.168.18.0/24 ! -d 192.168.18.0/24 -j MASQUERADE
-A inet-pre -p tcp -m tcp --dport 2202 -j DNAT --to-destination 192.168.18.2:22
-A inet-pre -p tcp -m tcp --dport 2203 -j DNAT --to-destination 192.168.18.3:22
-A inet-pre -p tcp -m tcp --dport 2204 -j DNAT --to-destination 192.168.18.4:22
-A inet-pre -p tcp -m tcp --dport 2205 -j DNAT --to-destination 192.168.18.5:22
-A inet-pre -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.18.5:25
-A inet-pre -p tcp -m tcp --dport 465 -j DNAT --to-destination 192.168.18.5:465
-A inet-pre -p tcp -m tcp --dport 587 -j DNAT --to-destination 192.168.18.5:587
COMMIT
# Completed on Thu Mar 21 11:31:57 2024
# Generated by iptables-save v1.4.21 on Thu Mar 21 11:31:57 2024
*filter
:INPUT DROP [20185:1477648]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1037938:1091345641]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -i lxcbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i lxcbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lxcbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i lxcbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate DNAT -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,23,25,110,465,993,995 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -o lxcbr0 -j ACCEPT
-A FORWARD -i lxcbr0 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i lxcbr0 -o eth0 -j ACCEPT
-A FORWARD -i lo -o lxcbr0 -j ACCEPT
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --rcheck --seconds 90 --reap --hitcount 5 --name SSH --mask 255.255.255.255 --rsource -j NOWAY
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --mask 255.255.255.255 --rsource
COMMIT
# Completed on Thu Mar 21 11:31:57 2024


[Kisliy]

iptables-save показывайте. Так будет яснее.

Хорошо, но я его ещё не создавал.

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:16:3c:1f:4c:9d brd ff:ff:ff:ff:ff:ff
    inet 192.XXX.XXX.XXX/27 brd 192.XXX.XXX.XXX scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::216:3cff:fe1f:4c9d/64 scope link
       valid_lft forever preferred_lft forever
3: tap_tap_virtual: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 5e:35:f6:00:27:80 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global tap_tap_virtual
       valid_lft forever preferred_lft forever
    inet6 fe80::5c35:f6ff:fe00:2780/64 scope link
       valid_lft forever preferred_lft forever

[AnrDaemon]

Ну а в чём тогда проблема?…

Изучайте правила, которые я запостил. Там многое уже есть. Обратите внимание на порядок правил.

[Kisliy]

Изучайте правила, которые я запостил. Там многое уже есть. Обратите внимание на порядок правил.

Хорошо Т.е. это ваш vpn, который аналогичен моему? Он устойчив к уязвимостям, обозначенных в 7 и 8 вопросах?

[AnrDaemon]

7. Одними правилами iptables защита не выстраивается. Но то, что от них зависит, там есть.
8. Да, конечно. А как вы хотели?

[Kisliy]

7. Одними правилами iptables защита не выстраивается. Но то, что от них зависит, там есть.

Если я один буду пользоваться vpn, я могу прописать только свой ip адрес домашнего компа, а остальные соединения в drop отправлять, тогда разве возможна атака?

8. Да, конечно. А как вы хотели?

Тоже не хотел бы, опять таки, если соединения с чужих ip - drop, active probing сервера всё-равно каким-то образом будет делаться?