Iptables openvpn, почему не работает правило?

Question

[Chase_Norman]

Хотел запретить трафик между пользователями OpenVPN но разрешить VNC порт

Применил эти правила, но трафик не проходит
iptables -A FORWARD --protocol tcp --dport 5900 --jump ACCEPT
iptables -A FORWARD -i tun0 -o tun0 -j DROP

По счетчику вижу что трафик попадает как под первое, так и под второе правило одновременно.
Что я делаю не так7(

Answer 1

[ValdikSS]

Вы разрешили пакеты от клиента к VNC-серверу, но не ответные пакеты от сервера к клиенту. Добавьте следующее правило:

iptables -A FORWARD --protocol tcp --sport 5900 --jump ACCEPT

Comments

[Chase_Norman]

Спасибо за отзыв. Это уже совет ближе к решению вопроса

Вот только проблема что src порт там всегда динамический и не равен 5900

Сейчас смотрю в сторону разрешающего правила на базе уже установленного соединения

[ValdikSS]

Вероятно, вы путаете порт источника клиента и порт источника сервера. Порт источника сервера при ответных пакетах будет 5900, если сервер работает на этом порту.

[Chase_Norman]

ValdikSS, проверил. Да, действительно вы правы. Спасибо за уточнение.
Буду лучше понимать как проходит трафик

Но подмечу что и правило для состояний так-же решило вопрос:
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD --protocol tcp --dport 5900 --jump ACCEPT
iptables -A FORWARD -i tun0 -o tun0 -j DROP

Answer 2

[Ziptar]

>Что я делаю не так7(
Используете режим туннеля (tun), по всей видимости.