Почему не работает firewall iptables?

Question

[jidckii]

Подскажите, почему может не работать фильтр iptables ?
eth0 - интернет
wlan0 - wi-fi для клиентов.
Нужно на wlan0 закрыть все порты кроме тех, что перечислены.
но почему то когда подключаюсь и пытаюсь открыть к примеру RDP 3389 , которого нет в списке разерешенных, все спокойно работает !

Правила выглядят так :

Chain INPUT (policy ACCEPT 1746 packets, 144K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       172.20.20.5          0.0.0.0/0           
2        0     0 ACCEPT     udp  --  *      *       172.20.20.5          0.0.0.0/0           
3       26  8528 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
4        5  1735 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:68
5       26  1976 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
7       32  2144 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
8        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
9        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
10       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
11       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
12       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
13       0     0 DROP       tcp  --  wlan0  *       0.0.0.0/0            0.0.0.0/0           
14      21  4699 DROP       udp  --  wlan0  *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 187 packets, 21975 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ну или в таком виде:

pi@raspberrypi ~ $ cat /etc/nat_fw 
#!/bin/bash

# NAT для обоих подключений
iptables -t nat -A POSTROUTING -s 172.20.20.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.20.20.0/24 -o wwan0 -j MASQUERADE

## ssh tcp port 22 ##
iptables -A INPUT -s 172.20.20.5 -p tcp -j ACCEPT
iptables -A INPUT -s 172.20.20.5 -p udp -j ACCEPT

## DHCP ##
iptables -A INPUT  -p udp --dport 67 -j ACCEPT
iptables -A INPUT  -p udp --dport 68 -j ACCEPT

## time sync via NTP для локальной сети (udp port 123) ##
iptables -A INPUT  -p udp --dport 123 -j ACCEPT

## tcp port 25 (smtp) ##
iptables -A INPUT   -p tcp --dport 25 -j ACCEPT

# dns server ports ##
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

## http/https www server port ##
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

## tcp port 110 (pop3) ##
iptables -A INPUT -p tcp --dport 110 -j ACCEPT

## tcp port 143 (imap) ##
iptables -A INPUT -p tcp --dport 143 -j ACCEPT

## Блокируем все остальное 
iptables -A INPUT -i wlan0 -p tcp  -j DROP
iptables -A INPUT -i wlan0 -p udp  -j DROP

Answer 1

[Владимир]

Если соединение на RDP 3389 идет от клиента через этот шлюз кудато дальше в интернет то правила должны быть не в цепочке INPUT, а в цепочке FORWARD.

Answer 2

[eCat3]

По умолчанию iptables пропускает все пакеты, не попадающие под правила. У вас

iptables -A INPUT   -p tcp --dport %port% -j ACCEPT

прописаны только явно разрешённые.
iptables -P INPUT DROP
будет дропать пакеты во всех не описанных случаях

Comments

[jidckii]

eCat3
правило в конце :
## Блокируем все остальное
iptables -A INPUT -i wlan0 -p tcp -j DROP
iptables -A INPUT -i wlan0 -p udp -j DROP

[Александр Карабанов]

Всё остальное адресованное самому хосту, но не устройствам за ним.