Forward в IPTables

[Bakorka88]

Всем привет!
Сразу оговорюсь, я и на данном форуме новичок и Ubuntu для себя только открыл.
По сему просьба, не пинать за ошибки.

По вопросу! Есть машина с Ubuntu Server. Я благополучно установил на ней OpenVPN Server - все работает отлично.
Встала задача, чтобы у клиентов, подключившихся к серверу OpenVPN, была возможность только лазить в Интернете, т.е. разрешен проброс 80 и 443 портов, а остальные закрыты.
Поизучав IPTables, я решил ее так:

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport [порт ssh] -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport [порт подключения к OpenVPN по tpc] -j ACCEPT
iptables -A INPUT -p udp -m udp --dport [порт подключения к OpenVPN по udp] -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport [порт мониторинга] -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT
Все работает, но намного медленнее, чем без правил. И при подключении по ssh терминал стал отвечать с задержками.
Изначально (так посчитал правильно) я попытался сделать без source:
iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT и iptables -A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT
но вообще ничего не работало. Потом добавил эти строчки и, как я написал выше, заработало, но с тормозами.

Большая просьба к знатокам, подскажите новичку что не так и в чем состоит проблема с задержками.
Заранее благодарю!

[aSmile]

1. Чтобы не прописывать обратные правила, обычно в начале FORWARD цепочки пишут что-то подобное

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT2. Возможно, замедление связано с ДНС (как он настроен у клиентов? Сначала какой-то внешний, а потом внутренний?). Можно попробовать разрешить форвард 53-го порта для проверки.

[Bakorka88]

1. Чтобы не прописывать обратные правила, обычно в начале FORWARD цепочки пишут что-то подобное

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT2. Возможно, замедление связано с ДНС (как он настроен у клиентов? Сначала какой-то внешний, а потом внутренний?). Можно попробовать разрешить форвард 53-го порта для проверки.

Спасибо за подсказку и идею!
Но, к сожалению, forward 53-го порта ничего не дал. Замедления остались.
Что касается DNS у клиентов: до установленных правил iptables, у них же все работало без проблем.
Значит дело в сервере. Да и когда я полностью убираю правила - все ACCEPT, у клиентов тормоза пропадают.
В любом случаю, благодарю вас, что откликнулись на мою проблему.

[AnrDaemon]

Показывайте iptables-save со шлюза.

[Bakorka88]

Показывайте iptables-save со шлюза.

А сами правила написаны правильно?

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=283622.msg2233961#msg2233961

[Bakorka88]

https://forum.ubuntu.ru/index.php?topic=283622.msg2233961#msg2233961

Трудно было ответить на мой вопрос? Это же правила, а не возможные варианты. Они либо верны, либо нет!
P.S. Я не знаю, как показать iptables-save со шлюза.
https://forum.ubuntu.ru/index.php?topic=283622.msg2233907#msg2233907 - тут написано, что я только начал изучать.
Будьте проще, и тогда люди потянутся к вам.

[AnrDaemon]

Трудно было ответить на мой вопрос? Это же правила, а не возможные варианты. Они либо верны, либо нет!

Это не правила, это команды, которыми правила задаются. Мы вам тут не онлайн-интерпретаторы скриптов, и у нас нет доступа к вашей машине, чтобы угадывать, что эти команды там сделают.

P.S. Я не знаю, как показать iptables-save со шлюза.

1. Логинитесь на шлюз.
2. Выполняете команду

Код: [Выделить]

sudo iptables-save > меняпопросили.txt3. Копируете файл меняпопросили.txt себе на машину.
4. Открываете его в текстовом редакторе.
5. Копируете его содержимое и вставляете в ответ на форуме. ПОД СПОЙЛЕРОМ!

Дожили, элементарные вещи по шагам объяснять приходится.
Может, вам ещё ссылку на видео дать, как текстовым редактором пользоваться?

[Bakorka88]

AnrDaemon, лучше я дождусь более адекватного собеседника.
Ваше заоблачное высокомерие и гонор влюбленного в себя эгоиста, ничего, кроме отвращения, не вызывают.
Вы уж простите за прямоту, но никогда не преклонялся перед выскочками.

[AnrDaemon]

"Более адекватный собеседник" точно так же попросит вас предоставить правила со шлюза. Точно той же самой командой.
Потому что это единственный адекватный способ их получения. Нравится вам это или нет.

И, да, извините, что не пресмыкаюсь тут перед вами и не лижу вам ботинки. Впрочем, нет, не извиняйте, мне плевать на вас и ваши проблемы.

[Bakorka88]

"Более адекватный собеседник" точно так же попросит вас предоставить правила со шлюза. Точно той же самой командой.
Потому что это единственный адекватный способ их получения. Нравится вам это или нет.

И, да, извините, что не пресмыкаюсь тут перед вами и не лижу вам ботинки. Впрочем, нет, не извиняйте, мне плевать на вас и ваши проблемы.

Сникирсните, и не включайте дуру. Речь не о том, что попросит адекватный собеседник. А в отсутствии у адекватного собеседника комплексов, которые у вас остались, видимо, еще с детства. И после того, как вас послали лесом, максимум, на что вас хватило, это "плевать".
Пользователь добавил сообщение 03 Ноября 2016, 18:30:43:Вопрос решен! Большое спасибо aSmile, который подал идею для решения.

[AnrDaemon]

И после того, как вас послали лесом, максимум, на что вас хватило, это "плевать".

А какого ответа ожидали вы? Униженных извинений в ответ на хамство?

[Bakorka88]

И после того, как вас послали лесом, максимум, на что вас хватило, это "плевать".

А какого ответа ожидали вы? Униженных извинений в ответ на хамство?

Забавно, когда хам говорит о хамстве.