Как запретить исходящие соединения к 80 порту на ПК, подключенных к VPN на базе PPTPD в Ubuntu Server?

Question

[Тимур Громов]

Есть сервер на Ubuntu Server, на котором установлен pptpd.
Есть пк на win7, который подключается к VPN-серверу.
Стоит задача запретить подключенному ПК доступ в интернет по 80 порту.
Добавил правило:
iptables -A OUTPUT -j REJECT -p tcp --dport 80
В результате на сервере исходящие соединения к 80 порту закрылись, а на пк, подключенному к этому серверу, нет.
Подскажите, пожалуйста, как это можно сделать.

Answer 1

[Mystray]

А зачем вы в OUTPUT добавили? Это и есть цепочка для исходящих с самого сервера.
Вам надо в FORWARD добавить, и еще указать исходящий, к примеру, интерфейс или диапазон адресов, чтоб не зарезать вообще весь транзитный трафик на 80 порт.

Comments

[Тимур Громов]

Спасибо! Поменял OUTPUT на FORWARD - заработало, трафик блокируется. Но при попытке открыть любой сайт по HTTP в браузере соединение закрывается не мгновенно, а через секунд 15 до ERR_CONNECTION_TIMED_OUT. Думал REJECT за это отвечает, но нет. Можно как-то закрывать мгновенно соединения на клиентах впн?

[Mystray]

Тимур Громов: попробуйте -j REJECT --reject-with icmp-port-unreachable или -j REJECT --reject-with icmp-host-unreachable
не забыв предварительно удалить старое правило.
Ну и в OUTPUT не должно быть ничего что могло бы заблочить это.

[Тимур Громов]

По прежнему ожидает 10 сек и появляется ERR_CONNECTION_TIMED_OUT, пробовал оба варианта --reject-with

[Karmashkin]

Тимур Громов: вместо запрета попробовать перенаправить на прокси и на нем уже нарисовать страничку с "404 кирпичем" ;)