Не срабатывают правила iptables, чяднт?

Пример моих правил.

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 10000:40000 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Не срабатывают правила iptables, чяднт?

>> не отображаются правила drop all
Вот же Chain INPUT (policy DROP

MYIP - надеюсь это не IP сервера телефонии?

И какой результат?

Цепочку OUTPUT обычно делают Chain OUTPUT (policy ACCEPT. Исходящие пакеты блокируют только параноики.

Не срабатывают правила iptables, чяднт?

RETURN — прекращает движение пакета по текущей цепочке правил и производит возврат следующему правилу в вызывающей (предыдущей) цепочке, если текущая цепочка была вложенной, или, если текущая цепочка лежит на самом верхнем уровне (например INPUT), то к пакету будет применена политика по-умолчанию; обычно, в качестве политики по-умолчанию назначают действия ACCEPT или DROP;

Не срабатывают правила iptables, чяднт?

Как эта цепочка выглядит?

f2b-sshd

Не срабатывают правила iptables, чяднт?

Похоже что адрес атакующего 185.108.106.250, он попал в цепочку f2b-asterisk-udp которая стоит выше приоритетом в iptables. Судя по счетчику pkts bytes - правило отработало. соответственно дальше все правила уже не работают.

С виду должно работать. Но есть ньюанс, надо посмотреть дамп (tcpdump) от 185.108.106.250.

Почему на одном веб-сайте спрашивает разрешение на установку сертификата?

Роман Мирр, Эта проверка никакого отношения к вашему телефону не имеет. В данном случае проверяется пользователь.
Проверяется СЕРТИФИКАТ клиента!

Можно провести аналогию
Вы используете логин и пароль что бы подключиться к какому либо сайту? Так вот, сертификат - это как более надежный логин и пароль для подключения к сайту.

Почему на одном веб-сайте спрашивает разрешение на установку сертификата?

Давайте немного объясню.

Есть сертификат сервера который проверяет клиент (в вашем случае телефон) и у нас горит "зеленый замочек" в адресной строке браузера который свидетельствует, что все ОК и сайту можно доверять.
Но есть следующий уровень безопасности, когда сервер дополнительно проверяет сертификат клиента (по умолчанию на вашем устройстве не должно быть таких сертификатов), но в Вашем случае такой сертификат стоял и Ваш телефон ответ на запрос сервера "Предоставь мне свой сертификат".

Firefox кстати на ПК не пользуется сертификата системы, у нее свое хранилище.

Зачем это сделал админ сервера можно только предполагать
- дополнительная защита каких-то ресурсов на сайте
- просто накосячил с настройкой

Для чего это вообще надо?
- Если на сервере настроена жосткая политика проверки сертификата клиента - это позволяет защитить WEB ресурс от атак по типу brute-force, sql injection и т.д.

Почему на одном веб-сайте спрашивает разрешение на установку сертификата?

Это настройка сервера. Но раз страницы открывается без сертификата, значит настройка "мягкая" - сервер запрашивает сертификат, но если клиент его не отдает, то все равно пропускает.

Скорее всего косяк настройки.

Как запихнуть фото в переменную телеграм бота, и использовать её в дальнейшем?

https://stackoverflow.com/questions/42796300/get-p...

Почему не ходит трафик от пользователей в другую сеть?

Попробуй поменять gw в маршрутах
172.16.25.1 поменяй на 172.16.25.2
172.16.25.2 поменяй на 172.16.25.1

Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

Тяжело понять в чем именно проблема не имея доступа к консоли. Если есть выбор, попробуй поставить debian/ubuntu.

Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

Попробуй вот эти строки поменять

WAN_INTERFACE='eth0'
SRC_PORT_FORWARD='3389'
DST_PORT_FORWARD='3389'

Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

а тут?

ip ad | grep state

Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

вывод команды

echo $WAN_INTERFACE

Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

Заходишь под root
sudo -s

Копируешь это в блокнот, правишь под себя, потому копируешь в вставляешь в консоль.

# Адрес твоего RDP сервера
RDP_IP='192.43.76.78'
## Адрес твоего VPS
WAN_IP='54.23.45.43'
## Имя интерфейса на VPS, можно посмотреть через команду ip ad
WAN_INTERFACE=ens33
SRC_PORT_FORWARD=3389
DST_PORT_FORWARD=3389
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i $WAN_INTERFACE -p tcp  --dport $SRC_PORT_FORWARD -j DNAT --to-destination $RDP_IP
iptables -t nat -A POSTROUTING -d $RDP_IP -p tcp  --dport $DST_PORT_FORWARD -j SNAT --to-source $WAN_IP

Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

покажи вывод
sudo iptables-save

Как перенаправить пакет из локальной сети на устройство локальной сети при обращении к внешнему IP?

S10LI, Как вы и сказали "можно было настроить все на уровне сетевого оборудования"

VPN предназначен для защищенного подключения сотрудника к ресурсам копании когда сам сотрудник находится за пределами компании. Я не вижу никакого удобства в вашей реализации

Для организации VPN между филиалами используют VPN Site-To-Site.
Для удаленного безопасного подключения сотрудников к сети компании VPN
Для ограничения доступа к ресурсам Firewall или access-list.

Мы кстати для доступа к WEB ресурсам у себя используем сертификат. При подключении к ресурсам компании сервер проверяет сертификат клиента, проверяет в АД состоит ли сотрудник в группе доступа и все отлично работает.

Как перенаправить пакет из локальной сети на устройство локальной сети при обращении к внешнему IP?

S10LI, Вы стреляете себе в ногу.

Как сделать вай фай сервером?

Можете написать какой IP дает городской провайдер? Можно весь адрес не писать, только первые 2 актета.

Как перенаправить пакет из локальной сети на устройство локальной сети при обращении к внешнему IP?

S10LI,

а вот для VPN проблема, потому что создается .ovpn файл для настройки клиента, в котором указан внешний IP, а не доменное имя. В подробности лезть не буду, просто этот вариант не катит. (Вариант организовать OpenVPN на микротик тоже не стоит предлагать)

У меня глупый вопрос. Зачем пользователям подключаться к VPN из локальной сети?