Доброго дня. Решил поиграться с правилами на сервере, на котором раскатаны различные vpn. Узнал о том, что у меня в iptables политики input и forward были по умолчанию ACCEPT, поизучал немного, погуглил, и решил из перевести в режим DROP по умолчанию. Открыл нужные мне порты, настроил snat, и все вроде ок.
Возник вопрос, как сделать так, чтобы ICMP ходил только внутри сетей сервера (например если сейчас подключится к vpn, пингануть соседнего клиента, пинг пройдет, а если пингануть сам хост, 10.10.0.1, то ничего не будет. И с хоста такая же проблема), а при попытке пингануть его извне, т.е. на eth0 был drop ?
Вот первые правила цепочки input, ниже идут разрешающие правила на порты и все:
spoilerChain INPUT (policy DROP 61925 packets, 3664K bytes)
num pkts bytes target prot opt in out source destination
1 112M 109G ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 48962 8634K ACCEPT all -- enp7s0 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
3 238K 115M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
