Влад Животнев

KVM виртуалку арендуйте

Адрес серый, обратиться к нему извне нельзя.
Внешний VPN или выделенный адрес покупайте.

Потому что iptables нужно применять через iptables-save > file/ cat file | iptables-restore, а не черт-те как.

А так да - скрипт прекращает свою работу после iptables -F, default policy текущее у вас REJECT, видимо. -F policy не меняет.

Ищите про transparent squid.
Вам не запрещать трафик нужно, вам нужно его в squid перекидывать.

iptables-save > file
отредактировать файл
cat file | iprables-restore

Ну и проверьте, что у вас будет возможность ребутнуть сервер, чтобы сбросить настройки, если что. Когда все правила проверить - добавьте их в автозагрузку любым способом.

Если не лезтть в https - то никак.
Можно ещё на стороне браузеров блокировать, когда https-трафик уже расшифрован, но это не ваш случай, судя по тегам.

Через rinetd проще всего - https://debian.pro/523

Лучше делать так - https://debian.pro/1578
На каждой из проксей понадобится по 2 IP адреса (один из которых уедет на основной сервер).

Иначе вы намучаетесь с NAT/DNAT.

> Но https отказывается редиректится, что бы я не делал.
Он для этого и придуман, в общем-то.

Браузеры в любом случае будут ругаться на невалидный сертификат (ну при условии, что вы свой СА руками не будете ставить на каждый клиент).
Лучше не страдайте ересью.

Снес свой предыдущий ответ к чертям.

Правильный способ (на примере дебиана/убунты)
auto eth0
eth0 inet static
address ....
netmask ....
post-up /sbin/ip ro add 8.8.8.8 via dev eth0
post-up /sbin/ip ro add 8.8.4.4 via dev eth0

gateway - НЕ указываем (чтобы на eth не поднимался default route вообще).
В openvpn пишем опцию default-route
post-up /sbin/ip пишем на все адреса, на которые можно ходить без VPN.

Банить лучше всего на шлюзе (на сетевом, в смысле). Экономичнее так.

Это записи для разных демонов.
Ну то есть, если человек будет брутить вам ssh - то он попадет в таблицу "забаньте этого чудака на букву м только по 22-му порту". А на остальные порты его будет по-прежнему пускать.

Если мешает - попросите хостера заблокировать этот трафик.
Другого варианта нет - трафик всё равно будет приходить на эту железку. Можно отсекать его от ОС, но физически вы его получать всё равно будете.

https://debian.pro/523 самый легкий способ.

Но для real-time трафика такое лучше не использовать под высокой нагрузкой.

Через балансировщик, если у вас haproxy, можно просто создать VS-ки с одним бэкэндом.

# Установка политик по умолчанию
iptables -P INPUT DROP

А чего вы ожидали) ?

Когда вы делаете -F с такой дефолтной политикой - весь входящий трафик начинает дропаться.

А что мешает сочетать-то ) ?

Внутри OpenVZ вы не можете делать modprobe. Просите хостера включить нужные вам модули.

Fail2ban настройте, чтобы он банил тех, кто слишком часто дергает апач.
Ну и чуть посложнее в настройке, зато эффективнее как баномет — denyhosts.