Как правильно настроить iptables?

Question

[Drno]

Доброго дня.
Есть VPS, развернуто некторое ПО, доступное по http и еще паре портов. ПО слушает по умолчанию все интерфейсы. Так же подключена по VPN к серверу.
необходимо настроить iptables таким образом:
все входящие на внешний IP дропаем
при этом инет на самой vps должен естественно нормально работать(я про исходящие)
входящие на IP openvpn client - разрешаем без ограничений

Answer 1

[hint000]

-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type  0 -j ACCEPT
-A INPUT -p icmp --icmp-type  3 -j ACCEPT
-A INPUT -p icmp --icmp-type  4 -j ACCEPT
-A INPUT -p icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -j ACCEPT

Upd. добавил про tun/tap

Comments

[Drno]

Спасибо

А вот эта строка нужна разве для опенВПН, если что он по TCP 10000 порт
-A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Или она как раз разрешает обращаться на интерфейс опенвпн?

Так что это правило я поправлю, не проблема
-A INPUT -p udp --dport 1194 -j ACCEPT

[Drno]

hint000
сделал sh скрипт, повесил в крон на загрузку, с таймаутом 60сек... по htop видел что он висел и вроде как отработал, но почему то эффекта не было) после запуска из консоли - сработали правила сможете помочь?

#!/bin/bash
sleep 60
echo 'Firewall script'
systemctl disable ufw
systemctl stop ufw
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type  0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type  3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type  4 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
iptables -A INPUT -p tcp  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 188.242.*.* -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT

[hint000]

Drno,
-A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-это чтобы "инет на самой vps должен естественно нормально работать",
без этого запросы на внешний сайт уйдут, а ответы с сайта не пройдут.

но почему то эффекта не было

В чём должен был проявиться эффект? На хосте есть какой-то сервис, способный отвечать на запросы (кроме OpenVPN)? Если такого сервиса нет, то и эффект не заметить.
Выполните iptables -L -n -v
-увидите действующие на данный момент правила и счётчики пакетов и байтов для этих правил (первые два столбца).

[hint000]

Drno,

повесил в крон на загрузку

Кстати, делали sudo crontab -e или просто crontab -e ?

[Drno]

hint000,
кронтаб из под root

сервис там есть, веб интерфейс и он лайн радио на порту висит + ssh

после применения кроном при ребуте - пускает с любых IP по shh или вебу
после применения с консоли - пускать перестаёт

[Drno]

hint000,
Понял, буду знать.

-A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

[hint000]

Drno,

после применения кроном при ребуте - пускает с любых IP по shh или вебу

А посмотрите локальную почту рута, туда крон закидывает результаты выполнения скриптов, может быть скрипт на что-то ругнулся.

Вообще, я запускаю правила iptables по-старинке через /etc/rc.local и не знаю горя (по этому поводу меня уже тут в шутку называли "некромантом", типа не через модный systemd делаю, а поднимаю линуксовых мертвецов).

[Drno]

hint000, ну в кроне только инфа о том что скрипт запустился)

[Drno]

hint000, вообщем вывел в лог сообщения, он в логе печатает только строчку echo.... больше ниего
При том просто в крон, по расписанию, он выполняется)

[hint000]

Drno, попробуйте sleep 120
вдруг чего-то не готово было для запуска.

[Drno]

hint000, попробовал. и больше даже... та же фигня)
создал новый вопрос, бум ждать)

[Drno]

hint000, вот ответ если что. про крон))

Крон по умолчанию не знает пути к каталогам с программами.
Укажите полные пути до systemctl и iptables.

Добавил в начале скрипта
PATH=/usr/sbin:/sbin:/usr/bin:/bin

Теперь всё работает

[Drno]

hint000, ток щас заметил - не работает резолв DNS..
пришлось добавить название внешнего интерфейса, но все равно не резолвится
iptables -A FORWARD -p udp --dport 53 -j ACCEPT;
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT;
iptables -A INPUT -i ens15 -j DROP

[Drno]

hint000, UPD
Вот эти 2 правила для DNS. Все заработало

iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT;
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT;

Answer 2

[Dmitriy Loginov]

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT <-- это если только пинги нужно открыть
iptables -A INPUT -i eth0 -p TCP --dport 1194 -j ACCEPT
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT