Как создать правило для iptables+geoip?

Question

[Александр Назаров]

Имеется вот такое правило:

iptables -I INPUT ! -i lo -m geoip ! --src-cc RU -m comment --comment test -j DROP

Весть трафик закрыт, кроме России. Но есть некий, нероссийский ip адрес ( 12.34.56.78 ), доступ которому хотел бы открыть.
В итоге должно получится, что к серверу можно подключится только с российских ip и с одного нероссийского 12.34.56.78

Answer 1

[mureevms]

Дело в приоритете

iptables -I INPUT -s 12.34.56.78 -j ACCEPT
iptables -A INPUT ! -i lo -m geoip ! --src-cc RU -m comment --comment test -j DROP

Comments

[Александр Назаров]

iptables -I DOCKER ! -i lo -m geoip ! -s 12.34.56.78 -p tcp ! --src-cc RU -m comment --comment test -j DROP

Скажите пожалуйста, а такая конструкция сработает?

[mureevms]

Проверьте ). Должно сработать
Но лучше не усложняйте, через некоторое время будет трудно читать свой же конфиг.
Я бы сделал так:

iptable -P INPUT DROP
iptable -P FORWARD DROP
iptable -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m geoip --src-cc RU -j ACCEPT
iptables -A INPUT -s 12.34.56.78 -j ACCEPT

Или заворачивайте в кастомную цепочку DOCKER вместо INPUT, если хотите.