Как правильно открыть порт для IP в iptables?

Question

[extensionsapp]

Уже второй день ломаю голову и iptables возненавидел.

Открываю порт для IP и закрываю для всех остальных.

-A INPUT -s 123.124.125.126/32 -p tcp -m tcp --dport 32808 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 32808 -j REJECT --reject-with icmp-port-unreachable

Но при такой настройке, не пускает.

~# telnet 223.224.225.226 32808
Trying 223.224.225.226...
telnet: Unable to connect to remote host: Connection refused

Меняю на

-A INPUT -s 123.124.125.126/32 -p tcp -m tcp --dport 32808 -j ACCEPT

Пускает, но пускает со всех IP адресов, а мне нужно только с 123.124.125.126

Есть варианты?

Comments

[planc]

все правила покажи
iptables -L -n

вангую что нужно:
iptables -A OUTPUT -p tcp --sport 32808 -m state --state ESTABLISHED -j ACCEPT

[extensionsapp]

~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  123.124.125.126        anywhere             state NEW tcp dpt:32808
REJECT     tcp  --  anywhere             anywhere             state NEW tcp dpt:32808 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[extensionsapp]

На сервере несколько IP
123.124.125.124
123.124.125.125
123.124.125.126
123.124.125.127
123.124.125.128

И дело в том, что правила работают с 123.124.125.124, но не работаю ни с одним из следующих IP.

Answer 1

[solalex]

iptables -A INPUT -s 123.124.125.126/32 -m state --state NEW tcp --dport 32808 -j ACCEPT
iptables -A INPUT -m state --state NEW tcp --dport 32808 -j DROP
это именно для одного порта 32808 и должны идти по порядку
если есть еще правила, то сначала разрешающие, потом блокирующие

Comments

[extensionsapp]

Ошибка

Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.

[solalex]

iptables -A INPUT -p tcp -s 123.124.125.126/32 -m state --state NEW --dport 32808 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 32808 -j DROP

[extensionsapp]

solalex, правила выглядят вот так:

-A INPUT -s 123.124.125.126/32 -p tcp -m state --state NEW -m tcp --dport 32808 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 32808 -j REJECT --reject-with icmp-port-unreachable

Подключиться к серверу ни с IP 123.124.125.126 ни с какого другого нельзя.

[extensionsapp]

solalex, если убираю нижнюю строчку, то для всех открывается как и в моём решении.

[solalex]

extensionsapp, точно адрес 123.124.125.126? если не пускает, то адрес другой всяко.

Answer 2

[Руслан Федосеев]

iptables -L INPUT покажите

Comments

[extensionsapp]

~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  123.124.125.126        anywhere             state NEW tcp dpt:32808
REJECT     tcp  --  anywhere             anywhere             state NEW tcp dpt:32808 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination