Как разрешить доступ на сервер только с определенных IP?

Question

[Praporshhik_Zadov]

Имеется сервер на Ubuntu 24.04.1, на нем Docker.

Делаю так.

Создаю /etc/nftables.conf с таким содержимым:

#!/usr/sbin/nft -f

table inet filter {
  chain input {
    type filter hook input priority 0;
    policy drop;

    # Разрешить loopback
    iif "lo" accept

    # Разрешить установленные соединения
    ct state established,related accept

    # Разрешить доступ к SSH, HTTP, HTTPS только от указанных IP
    ip saddr {
      1.1.1.1,
      2.2.2.2,
      3.3.3.3,
      4.4.4.4,
      5.5.5.5,
    } tcp dport {22, 80, 443} accept
  }
}

Выполняю:

sudo nft flush ruleset
sudo nft -f /etc/nftables.conf
sudo systemctl restart nftables

Все работает, но только до перезагрузки сервера. Как сохранить постоянно такие ограничения?

Comments

[Alexey Dmitriev]

nft flush ruleset может удалять правила и докера и ломать его работу

Answer 1

[Михаил Р.]

Все работает, но только до перезагрузки сервера. Как сохранить постоянно такие ограничения?

Предположу, что nftables не был включен для автоматического запуска при загрузке системы, он просто был перезапущен в текущей сессии. Эта команда создаст необходимые ссылки, чтобы systemd запускал nftables при каждой загрузке, который в свою очередь, автоматически загрузит конфигурации из конфигов:
sudo systemctl enable nftables

Comments

[Praporshhik_Zadov]

Не помогает. Если быть точнее, то порт 22 закрыт и после перезагрузки, а вот 80 и 443 открываются после перезагрузки. Может, это Docker их открывает?

[Александр]

А что показывает "nft list ruleset" после перезагрузки? можно еще глянуть на всякий случай, "systemctl status nftables" и "ss - tuln"