Как настроить iptables?

Question

SergeProfessor @SergeProfessor

Iptables

Как настроить iptables?

Доброго времени суток, Хабр!

Делаю домашнее видеонаблюдение с помощью RPi. Трансляцию настроил, но сейчас она в публичном доступе. Это не есть гуд. Пытаюсь сделать так: закрыть доступ к малине со всех IP, кроме ip моего VPS, на котором через авторизацию будет просматриваться видео. Пытаюсь это сделать с помощью iptables. Не выходит. Делаю:

sudo iptables -A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport <порт трансляции> -s <ip VPS> -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport <порт трансляции> -j DROP

Но так не работает ни с сайта, ни, естественно, при обращении напрямую. Что сделать? Куда копать?

Спасибо.

Вопрос задан более трёх лет назад
2452 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Решения вопроса 2

8 комментариев

SergeProfessor @SergeProfessor Автор вопроса

@RicoX IP у меня не всегда постоянный (места пребывания разные :)), а IP сайта указан же в правиле

Написано более трёх лет назад
Сергей Петриков @RicoX

# Обнуляем правила
iptables -F
iptables -X

# Политика по умолчанию
# Все запрещено
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Разрешаем весь исходящий трафик
iptables -A OUTPUT -p all -j ACCEPT

# Разрешаем установленные соединения
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем трансляцию
iptables -A INPUT -s <Адреса кому можно> -p tcp -m state --state NEW --dport <Порт трансляции> -j ACCEPT

Попробуйте так, для меняющегося IP можно использовать динамический ДНС в правилах фаирвола или port knocking, либо как вариант на VPS поднять VPN и ходить с любого места на трансляцию через него.

Написано более трёх лет назад
SergeProfessor @SergeProfessor Автор вопроса

@RicoX , так тоже не работает, к сожалению

Написано более трёх лет назад
Сергей Петриков @RicoX

@BobJack А должно. С выключенным фаирволом хоть работает?

Написано более трёх лет назад
SergeProfessor @SergeProfessor Автор вопроса

@RicoX , да, с выключенным работает

Написано более трёх лет назад
Сергей Петриков @RicoX

Значит что-то в разрешающем правили задаете не верно или IP или порт.

Написано более трёх лет назад
SergeProfessor @SergeProfessor Автор вопроса

@RicoX , а не может это быть связано с тем, что именно на VPS отображается? В том плане, что видео получает IP VPS'a, а смотрит другой IP?

Написано более трёх лет назад
Сергей Петриков @RicoX

@BobJack Смотря как организован просмотр, если там просто окошко с флешплеером, которое запрашивает видео не с сервера а напрямую с камеры, то так и есть, поставьте на сервер что-то типа flussonic (для дома будет на шару) и проксируйте потоки - будет вам счастье, за одно сможете отдавать в разные плееры, для айпэдов там всяких.

Написано более трёх лет назад

3 комментария

SergeProfessor @SergeProfessor Автор вопроса

@merryjane ,
# Generated by iptables-save v1.4.14 on Mon Aug 18 10:23:34 2014
*filter
:INPUT ACCEPT [12:864]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -i eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 8080 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -s 192.227.167.34/32 -i eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 8080 -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Mon Aug 18 10:23:34 2014

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 2200/python3
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 7586/mjpg_streamer
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1983/apache2
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2172/sshd
tcp 0 0 192.168.1.43:8000 192.168.1.33:58429 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58447 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58442 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58480 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58397 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58474 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58398 TIME_WAIT -
tcp 0 0 192.168.1.43:22 192.168.1.33:41472 ESTABLISHED 7561/sshd: pi [priv
tcp 0 0 192.168.1.43:8000 192.168.1.33:58479 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58407 TIME_WAIT -
tcp 0 0 192.168.1.43:8000 192.168.1.33:58396 TIME_WAIT -
udp 0 0 0.0.0.0:5683 0.0.0.0:* 2200/python3
udp 0 0 0.0.0.0:68 0.0.0.0:* 1886/dhclient
udp 0 0 0.0.0.0:55135 0.0.0.0:* 1886/dhclient
udp 0 0 192.168.1.43:123 0.0.0.0:* 2119/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2119/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 2119/ntpd

Написано более трёх лет назад
Игорь @merryjane

У Вас Drop правило в середине цепочки INPUT. Все что после него уже не будет применяться для порта 8080.
Лучше сделать, как рекомендует @RicoX. Политики по умолчанию DROP, а в цепочках только разрешающие правила.

Написано более трёх лет назад
SergeProfessor @SergeProfessor Автор вопроса

@merryjane , так тоже не работает

Написано более трёх лет назад