Как в iptables запретить forward?

Question

[Вадим Алиев]

Всем добра! Как в iptables запретить forward порта 445 между eth0 и tun0?

Answer 1

[Alexey Dmitriev]

1. Cделать iptables -I FORWARD\INPUT\OUTPUT(нужное оставить) -s ip -d ip -j LOG
2. Попробовать зайти куда надо.
3. В /var/log/messages или syslog найти лог с подробной информацией о подключении с информацией о портах, состояниях, протоколах и т.п.
4. Удалить правило логгирования.
5. Добавить нужное правило с -j DROP
6. Проверить, что доступ закрыт.

Answer 2

[Zerg89]

iptables --append FORWARD --protocol tcp --src X.x.x.x --sport 455 --dst Y.y.y.y --jump DROP
command iptables generator

Comments

[Вадим Алиев]

я сделал чуть иначе, но суть не меняется особо

iptables -A FORWARD -i eth0 -o tun0 -p tcp --dport 139 --sport 139 -j REJECT
iptables -A FORWARD -i eth0 -o tun0 -p tcp --dport 445 --sport 445 -j REJECT
iptables -A FORWARD -i tun0 -o eth0 -p tcp --dport 139 --sport 139 -j REJECT
iptables -A FORWARD -i tun0 -o eth0 -p tcp --dport 445 --sport 445 -j REJECT

iptables -L -n -v

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     tcp  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0            tcp spt:139 dpt:139 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0            tcp spt:445 dpt:445 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  tun0   eth0    0.0.0.0/0            0.0.0.0/0            tcp spt:139 dpt:139 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  tun0   eth0    0.0.0.0/0            0.0.0.0/0            tcp spt:445 dpt:445 reject-with icmp-port-unreachable

в итоге я все равно могу зайти через openvpn по адресу 192.168.1.10 на сервер и вижу все файлы

[AUser0]

Уберите из правил --sport, однако.

[Вадим Алиев]

AUser0, не помогло ((

[AUser0]

Значит или приходит не через tun0, или уходит не через eth0, или вообще не FORWARD.