Как настроить iptables для доступа к сайту только с одного адреса?

Question

[Максим]

Не получается настроить доступ к панели Freepbx только для одного ip адреса
-A INPUT -s XXX.XXX.XXX.XXX/32 -j ACCEPT
-A INPUT -m tcp -p tcp --dport 80 -s XXX.XXX.XXX.XXX/32 -j ACCEPT
-A INPUT -p tcp --dport 80 -j DROP

centos 7
При таких настройках - доступа нет ни у кого.
Стоит закоментировать 3 строку - все работает с любого адреса.
IP верный
Аналогичные настройки работают на centos 6
Отличия - там где работает - сайт без сертификата, не работает - сайт с сертификатом

Comments

[Владимир]

1) SSL по 443 порту работает
2) Обратные пакеты тоже нужно разрешить

[Максим]

-A INPUT -m tcp -p tcp --dport 443 -s XXX.XXX.XXX.XXX/32 -j ACCEPT
есть и такая строка
насколько я понимаю - моя первая строка - -A INPUT -s XXX.XXX.XXX.XXX/32 -j ACCEPT разрешает для этого адреса все порты и протоколы

[Максим]

-A OUTPUT -m tcp -p tcp --dport 80 -s XXX.XXX.XXX.XXX/32 -j ACCEPT
-A OUTPUT -s XXX.XXX.XXX.XXX/32 -j ACCEPT
добавил - результата нет

[Максим]

504 Gateway Time-out - от Nginx такая ошибка
для 22 порта (SSH) правила работают

[Максим]

Посмотрел по логам wireshark, используются порты 80 и 443, и помимо tcp ещё и tls. Думаю, проблема как раз в tls

[mureevms]

Я бы мог написать правила, но считаю лучше дать понять как оно работает. Почитайте мою статью, в ней кратко описан принцип работы Iptables, как раз ваш случай.

[Максим]

так выглядит вывод iptables -L -v
14 2197 ACCEPT tcp -- any any XXX.XXX.XXX.XXX anywhere
33 1824 DROP tcp -- any any anywhere anywhere tcp dpt:http
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:81
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:xfer
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:mit-ml-dev
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:ctf
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:85
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX anywhere tcp dpt:https
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:radan-http
14 728 DROP tcp -- any any anywhere anywhere tcp dpt:mysql
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX1 anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX2 anywhere tcp dpt:ssh
1 40 DROP tcp -- any any anywhere anywhere tcp dpt:ssh

[Максим]

mureevms, Спасибо, прочитал статью. К сожалению, не вижу, где у меня ошибка.
Идентичные правила работают на другом сервере, отличие только в сертификате.
Я чуть позднее скинул вывод правил по порядку. Вроде, ошибки нет

[mureevms]

Максим, какой дистрибутив? Мне помнится с Freepbx (не панель, а именно дистрибутив линукса) там были проблемы с фаером, он сам менял настройки на свои, я так и не нашел причину и прикрыл порты на шлюзе, перед Freepbx.
Сдается мне, что это не все правила. Странно выглядит вывод. Покажите полный

[Максим]

mureevms, это если файервол включен - то да. Я его отключил. Iptables работает корректно,в части ssh например.

[mureevms]

504 Gateway Time-out

А теперь рассказывайте как настроен nginx )

[Максим]

mureevms, В какую сторону смотреть? сертификат прикручивал другой человек

[mureevms]

Максим, надо понять как работает nginx. Проксирует ли запросы на другой порт, сам ли отдает, кто обрабатывает код. Проще покажите файл конфига для этого домена

[Максим]

server {
listen y.y.y.y:80;

server_name pbx.yyy.ru;

root /var/www/html;

location /.well-known {}

location / {
return 301 https://$host$request_uri;
}
}

server {
listen y.y.y.y:443 ssl;

server_name pbx.yyy.ru;

root /var/www/html;
index index.php;

error_log /var/log/nginx/pbx.yyy.ru-error.log;

proxy_redirect off;

client_max_body_size 128m;
client_body_buffer_size 128k;
<------>
proxy_connect_timeout 15;
proxy_send_timeout 90;
proxy_read_timeout 300;

proxy_buffer_size 64k;
proxy_buffers 4 64k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
....
location / {
<------>expires off;

<------>access_log /var/log/nginx/pbx.yyy.ru-apache.log main;
<-->proxy_pass 127.0.0.1;<-->....
}

ssl_certificate /etc/letsencrypt/live/pbx.yyy.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/pbx.yyy.ru/privkey.pem;

ssl_session_timeout 5m;
....
#ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256
....
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
}

[Максим]

домен заменил на yyy
ip тоже, адрес указан белый сервера

[Максим]

hint000, Спасибо, был не в курсе

[Максим]

mureevms, Нашел в логах nginx

2020/12/11 14:39:18 [error] 32589#0: *1556 upstream timed out (110: Connection timed out) while connecting to upstream, client: xxx.xxx.xxx.xxx, server: pbx.xxx.ru, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:80/", host: "pb
x.xxx.ru"

понял, что нет ответа от локалхост
добавил правило
-A INPUT -p tcp -s 127.0.0.1/32 -j ACCEPT

Заработало.
Теперь пускает только то ip, которым открыт доступ по 443 и 80 порту

Answer 1

[Максим]

Нашел в логах nginx

2020/12/11 14:39:18 [error] 32589#0: *1556 upstream timed out (110: Connection timed out) while connecting to upstream, client: xxx.xxx.xxx.xxx, server: pbx.xxx.ru, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:80/", host: "pb
x.xxx.ru"

понял, что нет ответа от локалхост
добавил правило
-A INPUT -p tcp -s 127.0.0.1/32 -j ACCEPT

Заработало.
Теперь пускает только то ip, которым открыт доступ по 443 и 80 порту

Comments

[mureevms]

Именно это предположение у меня и было )

Answer 2

[Михаил Носов]

Попробуйте заменить 80 порт на 443.
А лучше добавить еще 2 правила на 443 порт.