Как открыть порты iptables для outline?

Question

[Андрей]

Приветствую.
После установки Outline говорит, так мол и так:

Make sure to open the following ports on your firewall, router or cloud provider:
- Management port 40380, for TCP
- Access key port 51528, for TCP and UDP

Пытался открыть через:

iptables -t filter -A INPUT -p tcp --dport 40380 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 40380 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 51528-j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51528-j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51528-j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 51528-j ACCEPT

Не помогает, - и VPN и Manager не могут подключится к серверу.
Если останавливаю iptables, то всё работает нормально.
Как корректно прописать открытие портов? В этом примере CentOS 7

На другом сервере Ubutu 20.04, такая же проблема, попытка открывать через ufw allow 1024:порт/tcp и ufw allow 1024:порт/udp тоже ничего не дает - пока фаерволл включен - трафик не ходит. Выключаешь - всё гуд.

Что не так? Как правильно?

Comments

[asmelnik]

iptables -nvL
покажите.
-A INPUT -p tcp --dport 40380 -j ACCEPT
Дописывает правило в конец, а перед ним может быть какое-то общее запрещающее.
Можно попробовать
iptables -t filter -I INPUT 1 -p tcp --dport 40380 -j ACCEPT
Так запишет самым первым.

[Drno]

сделайте sudo ufw disable и не парьтесь
всё равно сервер пустой и там только оутлайн

Answer 1

[Дмитрий]

Outline в докере крутится обычно, причем тут INPUT? транзитный трафик рулится правилами в FORWARD.

Comments

[Дмитрий]

Так, уточняю про Outline - после проверки своего сервера - он сеть поднимает в режиме host , поэтому настраиваем как обычно.
Но, опять же, себя проверил - тривиальная настройка ufw и там все работает.

sudo ufw allow proto udp port <твой-порт-тут> from any
...
...

[Андрей]

Дмитрий, на ubuntu получилось так:

ufw allow proto tcp from any to any port <номер порта>

При вашем варианте:

sudo ufw allow proto udp port <твой-порт-тут> from any

Отдавало: Need 'from' or 'to' with 'port'.
Спасибо за помощь.

Подскажите по iptables? Как правильно с Forward написать?

[Дмитрий]

не надо forward, я же написал. добавляйте правила в INPUT , но не с -A INPUT (это ставит правила в конец) а с -I INPUT
и будет лучше если вы покажите что там с правилами сейчас на компе.
Покажите вывод команды
iptables -vnx -L

Answer 2

[Alexey Dmitriev]

1. Нужно убрать -t filter из всех правил.
Делать
iptables -A INPUT
iptables -A OUTPUT
2. C чего это у вас --dport и в INPUT и в OUTPUT? Это же даже не логично. Если на входе dport, что должно быть на выходе?
3. Стоит проверить в каком состоянии деполтная политика для INPUT и OUTPUT - они вообще у вас в DROP или все-таки ACCEPT

Comments

[Андрей]

1. Пробовал - такая же картина
2. Если бы я знал (
3. Прописывал:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

Не помогает

[Alexey Dmitriev]

Андрей, вы дали ответ только по одному из 3 вопросов.
Я бы посоветовал вам изучить, как работает iptables и сети в Linux, ибо судя по ответам - понимания у вас нет.