Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, Огромное спасибо! Буду пробовать, проверять. Надеюсь больше абузов не увижу от хостера. Напиши хоть номер свой, скину тебе донат небольшой за помощь. Спасибо что есть такие неравнодушные люди как ты, которые подсказывают таким нубаям как я :))

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp9s0: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether a8:a1:59:94:1a:c0 brd ff:ff:ff:ff:ff:ff
inet scope global enp9s0
valid_lft forever preferred_lft forever
inet6 scope global
valid_lft forever preferred_lft forever
inet6
scope link
valid_lft forever preferred_lft forever

enp9s0 видимо все таки он. теперь стыдно становится.

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, "Вот это перекрывает все правила. " - тоесть если это правило стоит, то остальные не обязательно прописывать было? Или лучше удалить его и оставить эти
-A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/12 -j MASQUERADE

"Только судя по iptables-save интерфейс у тебя enp9s0, а ты указал eth0." - ваа, здорово. И что тогда удалить и переписать для enp9s0?

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, Ломаю голову как правильно прописать тогда ее для iptables )) Я не особо сильно шарю в убунте.

sudo iptables -A OUTPUT -d 192.168.0.0/16 -j DROP # - вот где тут правильно вписать eth0 ?

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, Добавил новые настройки:
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/12 -j MASQUERADE

Как думаешь, достаточно будет? Или лучше на всякий случай еще дропнуть исходящий трафик с eth0 для того же диапазона RC1918?

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Спасибо, вот как раз ломаю голову, как все правильно настроить с натом.

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Drno, Скорее всего кто-то из пользователей с вирусняком/сканером, тут ты прав.

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Drno, Сейчас попробую да, заодно и nat маскарад настрою как советовали выше.

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, Что скажешь?

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

-A ufw-user-output -s 10.0.0.0/8 -o eth0 -j DROP
-A ufw-user-output -s 172.16.0.0/12 -o eth0 -j DROP
-A ufw-user-output -s 192.168.0.0/16 -o eth0 -j DROP

Я настраивал с ufw, не помогло.

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

AlexVWill, Там дело в том, что конфиг создается на сервере Pritunl с заданными параметрами для подключения. Поэтому тогда он вообще попросту не будет подключаться. Сейчас вижу ребята пишут про nat, попробую с ним еще разобраться.

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

Valentin Barbolin, # Generated by iptables-save v1.8.4 on Mon May 22 10:55:01 2023
*nat
:PREROUTING ACCEPT [1639079:277138929]
:INPUT ACCEPT [67329:5188358]
:OUTPUT ACCEPT [345:27272]
:POSTROUTING ACCEPT [388:28916]
-A POSTROUTING -s 192.168.220.0/24 -o enp9s0 -m comment --comment pritunl-6464a64bc82bd7b46c9a5bca -j MASQUERADE
-A POSTROUTING -s 192.168.215.0/24 -o enp9s0 -m comment --comment pritunl-6458b11fc82bd7b46cba08c9 -j MASQUERADE
-A POSTROUTING -s 192.168.221.0/24 -o enp9s0 -m comment --comment pritunl-6446d0dcc82bd7b46ccb7724 -j MASQUERADE
-A POSTROUTING -s 192.168.239.0/24 -o enp9s0 -m comment --comment pritunl-64392dc1c82bd7b46c7d01ff -j MASQUERADE
-A POSTROUTING -s 192.168.237.0/24 -o enp9s0 -m comment --comment pritunl-644394fdc82bd7b46cad7d70 -j MASQUERADE
COMMIT
# Completed on Mon May 22 10:55:01 2023
# Generated by iptables-save v1.8.4 on Mon May 22 10:55:01 2023
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [5813:298139]
:OUTPUT ACCEPT [580:92687]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -i tun4 -m comment --comment pritunl-6464a64bc82bd7b46c9a5bca -j ACCEPT
-A INPUT -i tun3 -m comment --comment pritunl-6458b11fc82bd7b46cba08c9 -j ACCEPT
-A INPUT -i tun2 -m comment --comment pritunl-6446d0dcc82bd7b46ccb7724 -j ACCEPT
-A INPUT -i tun0 -m comment --comment pritunl-64392dc1c82bd7b46c7d01ff -j ACCEPT
-A INPUT -i tun1 -m comment --comment pritunl-644394fdc82bd7b46cad7d70 -j ACCEPT
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -o tun4 -m comment --comment pritunl-6464a64bc82bd7b46c9a5bca -j ACCEPT
-A FORWARD -o tun3 -m comment --comment pritunl-6458b11fc82bd7b46cba08c9 -j ACCEPT
-A FORWARD -i tun4 -m comment --comment pritunl-6464a64bc82bd7b46c9a5bca -j ACCEPT
-A FORWARD -i tun3 -m comment --comment pritunl-6458b11fc82bd7b46cba08c9 -j ACCEPT
-A FORWARD -o tun2 -m comment --comment pritunl-6446d0dcc82bd7b46ccb7724 -j ACCEPT
-A FORWARD -o tun0 -m comment --comment pritunl-64392dc1c82bd7b46c7d01ff -j ACCEPT
-A FORWARD -o tun1 -m comment --comment pritunl-644394fdc82bd7b46cad7d70 -j ACCEPT
-A FORWARD -i tun2 -m comment --comment pritunl-6446d0dcc82bd7b46ccb7724 -j ACCEPT
-A FORWARD -i tun0 -m comment --comment pritunl-64392dc1c82bd7b46c7d01ff -j ACCEPT
-A FORWARD -i tun1 -m comment --comment pritunl-644394fdc82bd7b46cad7d70 -j ACCEPT
-A FORWARD -m string --string "info_hash" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "announce" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "torrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "announce.php?passkey=" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string ".torrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "peer_id=" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "BitTorrent protocol" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "BitTorrent" --algo bm --to 65535 -j DROP
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -o tun4 -m comment --comment pritunl-6464a64bc82bd7b46c9a5bca -j ACCEPT
-A OUTPUT -o tun3 -m comment --comment pritunl-6458b11fc82bd7b46cba08c9 -j ACCEPT
-A OUTPUT -o tun2 -m comment --comment pritunl-6446d0dcc82bd7b46ccb7724 -j ACCEPT
-A OUTPUT -o tun0 -m comment --comment pritunl-64392dc1c82bd7b46c7d01ff -j ACCEPT
-A OUTPUT -o tun1 -m comment --comment pritunl-644394fdc82bd7b46cad7d70 -j ACCEPT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j ACCEPT
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-input -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-input -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
-A ufw-user-output -s 10.0.0.0/8 -o eth0 -j DROP
-A ufw-user-output -s 172.16.0.0/12 -o eth0 -j DROP
-A ufw-user-output -s 192.168.0.0/16 -o eth0 -j DROP
COMMIT
# Completed on Mon May 22 10:55:01 2023

Как остановить трафик на диапазон RC1918 в Ubuntu 20.04?

pfg21, приложение open vpn использует частную сеть 192.168.0.0. То есть получается, что по итогу мне надо искать нового хостера?)) Они пишут, что не против самого vpn, я им все расписывал, что используется на сервере. А по факту значит не судьба с ними сотрудничать, печально.