Iptables закрыть все порты кроме некоторых на определенном сетевом интерфейсе?

Question

[syxoi]

Привет всем!
Имеем: сетевой интерфейс tun0 ("внутренняя" сеть), eth0 - ему назначен внешний IP.
Нужно запретить все порты на сетевом интерфейсе eth0 кроме 1194 UDP и 22 TCP, соответственно, tun0 трогать нельзя.
Попробовал так:
iptables -A INPUT -i eth0 -j DROP
Но соединения также блокируются и на tun0. Подскажите п-ж, как все правильно сделать?

Answer 1

[Дмитрий Шицков]

Блокируются они у вас не на tun0, а на eth0. Вам нужно оставить открытым 1194 порт, чтобы работал ваш туннель.

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth0 -j DROP

Comments

[syxoi]

Спасибо! А потом "добавлять" необходимые порты как-то можно? Т.е. практически сделать "наоборот" - сначала блокируем весь трафик, потом разрешаем определенные порты?

[syxoi]

iptables -A INPUT -i eth0 -j DROP - не работает, если натравить его на eth0 то все блочится, и входящие запросы на eth1 тоже не принимаются.

[syxoi]

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT также продолжают отклонятся все запросы. Тест провожу в виртуалке с арчем.

[Павел Селиванов]

Делай iptables -I INPUT, чтобы вставлять новые правила с начала, а не с конца

[syxoi]

Павел Селиванов: делаю iptables -I INPUT -i eth0 -j ACCEPT а соединения начинает принимать также и на eth1

[Дмитрий Шицков]

syxoi: вы выложите результат введенных правил. Возможно порядок правил получается неверный
iptables -L INPUT

[syxoi]

Дмитрий Шицков: а какой порядок должен быть?

[Дмитрий Шицков]

syxoi: сперва все разрешающие правила и лишь последним - iptables -A INPUT -i eth0 -j DROP

[syxoi]

Дмитрий Шицков: s020.radikal.ru/i717/1604/e7/fcecd737c817.png вот вывод iptables -L и -L INPUT

[syxoi]

Дмитрий Шицков: enp0s3 в этом случае этот тот же eth0

[syxoi]

Дмитрий Шицков: так настроил, но ssh все равно отклоняет: ssh: connect to host 192.168.5.1 port 22: Connection refused

[Дмитрий Шицков]

syxoi: результат по правилам у вас должен быть верный.Даже проверил себя на своей машине - порт 22 открыт, все остальные блокированы. У вас ssh без блокирующих правил работает? 192.168.5.1 - это IP этого самого шлюза?

[syxoi]

Дмитрий Шицков: это IP-адрес виртуалки сетевого интрфейса enp0s3, второй сетевой интерфейс enp0s8 192.168.5.2

[viiy]

tun0 у вас живет за счет открытого порта 1194 (openvpn) Конечно, если заблочить все пакеты на eth0, или открыто только ssh, то и tun0 пропадет, трафик же через него бежит. Я бы еще добавил правило "iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT" тем самым разрешив бегать пакетам с уже установленными содинениями, иначе пользователи заплачут что сети нет, т.к ответы на исходящие запросы не приходят. И вобще, дурной это тон закрывать все. Закрывайте то, что надо закрывать. Вот вы так же закрыли icmp, а это не только пинги, но и согласование mtu у вас теперь практически гарантировано начнутся проблемы с потерей пакетов и/или низкой скоростью сети. Откройте их iptable -A INPUT -i eth0 -p icmp -j ACCEPT

[syxoi]

viiy: а разве OpenVPN требует SSH? неразу не слышал..

[viiy]

syxoi: >iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT также продолжают отклонятся все запросы

Я про это ваше высказывание. Открыть только это, означает не открыть больше ничего.