Как разрешить выход в интернет только с одного IP адреса?

Question

[hllwrld]

Здравствуйте. Пытаюсь сделать так, чтобы выйти в интернет можно только с помощью впн -

sudo iptables -A INPUT ! -s АЙПИ -j DROP
sudo iptables -A OUTPUT ! -s АЙПИ -j DROP

В линукс зеленый, только сегодня прочел про iptables. Судя по содержанию, эти 2 команды запрещают отправку и принятие пакетов, если это не АЙПИ. Однако выходит так, что когда я пытаюсь зайди на какую-нибудь веб страничку - соединение сбрасывается, хотя в настройках VPN соединения (openVPN конфигурации) шлюз указан как АЙПИ. Помогите пожалуйста, что не так делаю

Comments

[Валентин]

только сегодня прочел про iptables

Читай дальше до просветления о принципах цепочек, а ещё политик по умолчанию.

эти 2 команды запрещают отправку и принятие пакетов, если это не АЙПИ

Нет, первая запрещает входящий трафик именно для этой машины с АЙПИ, а вторая запрещает отправку пакетов именно с этой машины на АЙПИ

[hllwrld]

Валентин,

Нет, первая запрещает входящий трафик именно для этой машины с АЙПИ, а вторая запрещает отправку пакетов именно с этой машины на АЙПИ

там стоит знак !

[metajiji]

Давай отталкиваться от постановки задачи.
Выход в Интернет это OUTPUT цепочка, так мы отбросим лишнее.
Дальше в условии сказано выход только при подключенном openvpn.
Давай думать, как работает openvpn?
С eth0 наружу бежит до впн сервера. Значит туда нельзя рубить доступ в OUTPUT!
sudo iptables -A OUTPUT ! -s АЙПИ -j DROP
Так мы запретили выход в интернет без впн, в том числе и до самого впн!
Все, что нужно - добавить перед этом правилом разрешающее правило до впн сервера.

Answer 1

[vreitech]

не особо понятно, как там у вас настроено.
какие IP-адрес и шлюз у сетевушки? какие - в VPN? какой блочите в iptables?
ну и в первом правиле должно быть не -s, а -d.

Comments

[hllwrld]

я хотел настроить доступ непосредственно к айпи шлюза впн. Ведь я когда сижу через впн, что я отправляю на этот айпи зашифрованные данные, получаю с него же. но бывают моменты, когда соединение впн 'слетает' и я просто бегаю так сказать голышом по центру Токио

[hllwrld]

Вывод iptables -L:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  -- !АЙПИ.АЙПИ.АЙПИ.АЙПИ      anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  -- !АЙПИ.АЙПИ.АЙПИ.АЙПИ      anywhere

[vreitech]

hllwrld, а где исключение для связи openvpn-туннеля с openvpn-сервером? он ведь тоже соединяется через интернет, а вы его запретили. добавьте:

iptables -A OUTPUT -s IP_сетевушки -d IP_vpn-сервера -j ACCEPT

и такое же правило для INPUT, только источник и назначение местами поменяйте.
и про "не -s, а -d" не забудьте для первой команды из вопроса.

[hllwrld]

vreitech, про -s и -d спасибо, учел. Немного не разбираюсь в тонкостях openVPN и только сейчас узнал, что не какой-то стандарт, а клиент-сервер. Из всех айпишников, которые я нашел в конфигурации openVPN - шлюз, который видимо и подключается к серверу сервиса впн

[hllwrld]

vreitech, сделал так-

iptables -A OUTPUT -s IP_сетевушки -d IP_шлюза -j ACCEPT
iptables -A INPUT -s IP_шлюза -d IP_сетевушки -j ACCEPT

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Все равно блочит доступ в интернет

[hllwrld]

Может быть дело в 443 порту? Или не важно, ведь ставлю разрешение на все