Открытие порта для определённого ip?

Question

[GiFus]

Нужна помощь в реализации подобия whitelist'a . В общем, надо открыть порт только для определённого ip через iptables по tcp протоколу. Уже второй час голову ломаю, как грамотно это реализовать.

Comments

[hint000]

Если только открыть-закрыть доступ по адресу и порту, то всё просто, как уже написали в двух ответах.
Но если одновременно с этим здесь же делаете проброс через NAT к этому порту, то чуть сложнее, нужно лучше понимать работу iptables.
У вас первый или второй вариант?

Answer 1

[CityCat4]

Ну, вот так например я ssh разрешаю

-A INPUT -p tcp --dport 22 -m set --match-set anynodes src -j ACCEPT
-A OUTPUT -p tcp --sport 22 -m set --match-set anynodes dst -j ACCEPT

где anynodes - это сет, определенный в ipset например вот так:

create anynodes hash:net family inet hashsize 1024 maxelem 65536 
add anynodes 10.7.1.0/24 
add anynodes 10.7.3.0/24

Разумеется по умолчанию пристреливать

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

Answer 2

[Vladimir Medvedev]

Советую первым делом проверить все правила, которые установлены для порта, iptables -n -L -v --line-numbers | grep {номер порта}. Удалите все правила этого порта, если уже сделали их кучу :) iptables -D INPUT {номер правила}
Поле этого разрешите доступ только определенному ip sudo iptables -A INPUT -p tcp --dport {номер порта} --source {ip} -j ACCEPT (помните, что есть ip внутренней сети и "внешний").
После этого закройте порт
sudo iptables -A INPUT -p tcp --dport {номер порта} -j DROP

можно еще Match Address, если для ssl

Answer 3

[unseriously]

Например, нам нужно разрешить подкючение на 22-й порт с айпишника 5.5.5.5:

iptables -A INPUT -s 5.5.5.5 -p tcp --dport 22 -j ACCEPT

Answer 4

[ky0]

1. Пишете правило, разрешающее доступ с нужного айпи на нужный порт.
2. Добавляете ниже по цепочке правило, запрещающее доступ на порт.

Если нужно часто добавлять/удалять адреса - можно сделать отдельную цепочку, в которую бы сначала проваливался трафик, и в неё добавлять адреса.