Как к одному из двух IP на Ubuntu запретить подключаться из сети?

Question

[AkZwork]

Добрый день.
Есть сервер Ubuntu 18, через netplan забито два IP адреса: основной и alias (один ens3).
Сейчас подключаться извне к серверу можно с обоих IP адресов.
Как запретить подключение К серверу с основного IP?

Весь смысл в том, что подключаюсь к VPN с дополнительного IP, и в случае необходимости на том же IP подключаюсь по ssh. А вот в сеть выхожу через VPN уже с основного адреса и нужно чтобы на нем полностью были заблокированы подключения извне.

Спасибо.

Answer 1

[Рональд Макдональд]

iptables -P INPUT DROP -i iface1
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT -o iface1

iface1 меняете на название интерфейса.
Учтите, что это правило блокирует действительно все входящие соединения. Может, вам проще блокировать SSH на этом интерфейсе?

Comments

[Karpion]

Добавлю, что можно поступить иначе - приказать сетевым серверам (программа, слушающим сеть в ожидании запросов - т.е. сетевым демонам) приказать слушать не все IP-адреса данного компьютера, а только указанные.

Answer 2

[Alexey Dmitriev]

Изучайте iptables
Команда для блокировки всех новых соединений, приходящих на ip адрес - следующая:
iptables -I INPUT -p ipдляблокировки -m state --state NEW - j DROP
Ключ -I - для того, чтобы правило попало вверх списка и имело приоритет.
Ключ -m state --state NEW - для того, чтобы обратные входящие соединения в ответ на открытые, инициированные самим хостом - не запрещались, а запрещались только новые соединение на ip адрес откуда-либо.