Правило iptables

[hidot95]

Приветствую всех!
Ребята, помогите. Нужно закрыть подключение к внешнему порту (к примеру 111).
К серверу подключаются через VPN.
Почему не работает правило:

Код: [Выделить]

iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m tcp --dport 111 -j DROPЗаранее спасибо откликнувшимся!

[fisher74]

вариантов несколько:
1. страждующие не из указанного диапазона
2. перекрываете tcp, а используется udp
3. Перед этим правилом маячит разрещающее терминирующее правило
и ещё много разных вариантов
А потому говорить о неработоспособности ОДНОГО правила из всей цепочки - всё равно, что оценивать роман "Война и мир" по одной строке из него.

[hidot95]

fisher74, прошу вашей помощи

Код: [Выделить]

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i tun1 -m comment --comment xyz -j ACCEPT
-A INPUT -i tun0 -m comment --comment xyz -j ACCEPT
-A FORWARD -o tun1 -m comment --comment xyz -j ACCEPT
-A FORWARD -i tun1 -m comment --comment xyz -j ACCEPT
-A FORWARD -o tun0 -m comment --comment xyz -j ACCEPT
-A FORWARD -i tun0 -m comment --comment xyz -j ACCEPT
-A FORWARD -p udp -m udp --dport 111 -j DROP
-A FORWARD -p tcp -m tcp --dport 111 -j DROP
-A OUTPUT -o tun1 -m comment --comment xyz -j ACCEPT
-A OUTPUT -o tun0 -m comment --comment xyz -j ACCEPT
tun1, tun0 - для подключения для tcp, udp

[fisher74]

Разберитесь, что делает каждое из правил в цепочке FORWARD и является ли оно терминирующим (кстати, знаете что это значит?).

[hidot95]

кстати, знаете что это значит?

Один старожил писал:

Если срабатывает терминирующее правило, то прохождение пакета по цепочке прекращается и переходит в следующую цепочку.

Я поставил нужные мне правила выше и все заработало. Выходит разрешающее правило срабатывало раньше запрещающего. Верное решение?

[fisher74]

Вывод верный.
Ели Вы получили то что ожидали, то решение тоже правильное.

[hidot95]

fisher74, скажите, пожалуйста, а если вместо 111-го порта прописать 25-й (и пару шифрующих), то никто из клиентов, подключившихся к серверу посредством VPN, почту отправлять не сможет?

[fisher74]

Если сервер исходящей почты работает на портах "25-й (и пару шифрующих", то не смогут.

Попробую опередить ещё десяток поверхностных вопросов и подвести Вас к более глобальным проблемам.
Защиты систем принято подразделять на две основных категории: "всё запрещено, кроме..." и "всё разрешено, кроме..."
Для защиты частных систем обычно используется первый, более параноидальный, способ защиты. Второй используют провайдеры, применяя запреты в исключительных случая (например, табу от Роскомнадзора)

Предлагаю Вам начать с этой задачи. Т.е. определиться с параноидальностью и дальше уже идти по этому пути.

[hidot95]

Благодарю, fisher74!
Десяток поверхностных вопросов не будет.

[fisher74]

Опередить - не запретить (дпа и нет у меня на то права ни морального, ни какого-либо другого).
Если будут - задавайте. Обязательно поможем.
Но только после попытки разобраться самостоятельно.

[hidot95]

Уважаемый fisher74!
Вопрос не по данной теме, а для образования.
Возможно ли через -p прописать разом все протоколы?
Читал, что есть вариант -p all, но не срабатывает.
Вопрос не критичный, но был бы благодарен за ответ.
Заранее благодарю!

[AnrDaemon]

Нет.