• Как запустить контейнер, если нужный для него порт занят?

    @primarch_sangvinius Автор вопроса
    Drno, все равно подразумевается, что мне нужен еще один ip адрес. причем, не факт, что на нем порты будут свободны - черт его знает, как там ispmanager его съест. может, и на него web-сервер навесит

    хоть физический сервер бери, а не виртуальный. чтобы разбивать его на виртуалки под каждую задачу и не выносить себе мозг...
  • Как запустить контейнер, если нужный для него порт занят?

    @primarch_sangvinius Автор вопроса
    reverse proxy - принято. но возник вопрос - как настроить верно? типа, есть вариант настроить так:
    location / {
    proxy_pass http://127.0.0.1:8000


    и тогда все запросы на домен полетят на порт 8000. но: если я верно догнал, речь идет об http/https запросах. а если не они?
  • Почему не проходит трафик OpenVPN?

    @primarch_sangvinius Автор вопроса
    10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 281
    10.8.0.4 255.255.255.252 On-link 10.8.0.6 281
    10.8.0.6 255.255.255.255 On-link 10.8.0.6 281

    route print с винды. что-то тут не получается не сходится...
  • Почему не проходит трафик OpenVPN?

    @primarch_sangvinius Автор вопроса
    AlexVWill, в логах только извещение об обнаружении не-впн трафика и перенаправлении его на порт nginx. при подключении нет проблем

    завел uwf.
    Valentin Barbolin, к тебе сие тоже. до того, как завел uwf, все правила, что были, я показал выше. буквально все.
    гетвей даже пигавать не буду - при подключении к впн коннект с сервером через ssh сохраняется

    iptables-save
    # Generated by iptables-save v1.8.4 on Mon May 15 20:20:11 2023
    *nat
    :PREROUTING ACCEPT [133:7612]
    :INPUT ACCEPT [11:437]
    :OUTPUT ACCEPT [25:1500]
    :POSTROUTING ACCEPT [25:1500]
    -A POSTROUTING -o ens3 -j MASQUERADE
    -A POSTROUTING -s 10.0.0.0/8 -o ens3 -j MASQUERADE
    COMMIT
    # Completed on Mon May 15 20:20:11 2023
    # Generated by iptables-save v1.8.4 on Mon May 15 20:20:11 2023
    *filter
    :INPUT DROP [7:280]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :ufw-after-forward - [0:0]
    :ufw-after-input - [0:0]
    :ufw-after-logging-forward - [0:0]
    :ufw-after-logging-input - [0:0]
    :ufw-after-logging-output - [0:0]
    :ufw-after-output - [0:0]
    :ufw-before-forward - [0:0]
    :ufw-before-input - [0:0]
    :ufw-before-logging-forward - [0:0]
    :ufw-before-logging-input - [0:0]
    :ufw-before-logging-output - [0:0]
    :ufw-before-output - [0:0]
    :ufw-logging-allow - [0:0]
    :ufw-logging-deny - [0:0]
    :ufw-not-local - [0:0]
    :ufw-reject-forward - [0:0]
    :ufw-reject-input - [0:0]
    :ufw-reject-output - [0:0]
    :ufw-skip-to-policy-forward - [0:0]
    :ufw-skip-to-policy-input - [0:0]
    :ufw-skip-to-policy-output - [0:0]
    :ufw-track-forward - [0:0]
    :ufw-track-input - [0:0]
    :ufw-track-output - [0:0]
    :ufw-user-forward - [0:0]
    :ufw-user-input - [0:0]
    :ufw-user-limit - [0:0]
    :ufw-user-limit-accept - [0:0]
    :ufw-user-logging-forward - [0:0]
    :ufw-user-logging-input - [0:0]
    :ufw-user-logging-output - [0:0]
    :ufw-user-output - [0:0]
    -A INPUT -j ufw-before-logging-input
    -A INPUT -j ufw-before-input
    -A INPUT -j ufw-after-input
    -A INPUT -j ufw-after-logging-input
    -A INPUT -j ufw-reject-input
    -A INPUT -j ufw-track-input
    -A FORWARD -i ens3 -o tun0 -j ACCEPT
    -A FORWARD -i tun0 -o ens3 -j ACCEPT
    -A FORWARD -j ufw-before-logging-forward
    -A FORWARD -j ufw-before-forward
    -A FORWARD -j ufw-after-forward
    -A FORWARD -j ufw-after-logging-forward
    -A FORWARD -j ufw-reject-forward
    -A FORWARD -j ufw-track-forward
    -A OUTPUT -j ufw-before-logging-output
    -A OUTPUT -j ufw-before-output
    -A OUTPUT -j ufw-after-output
    -A OUTPUT -j ufw-after-logging-output
    -A OUTPUT -j ufw-reject-output
    -A OUTPUT -j ufw-track-output
    -A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
    -A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
    -A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
    -A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
    -A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
    -A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
    -A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
    -A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
    -A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A ufw-before-forward -j ufw-user-forward
    -A ufw-before-input -i lo -j ACCEPT
    -A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
    -A ufw-before-input -m conntrack --ctstate INVALID -j DROP
    -A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
    -A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
    -A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
    -A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
    -A ufw-before-input -j ufw-not-local
    -A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
    -A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
    -A ufw-before-input -j ufw-user-input
    -A ufw-before-output -o lo -j ACCEPT
    -A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A ufw-before-output -j ufw-user-output
    -A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
    -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
    -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
    -A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
    -A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
    -A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
    -A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
    -A ufw-not-local -j DROP
    -A ufw-skip-to-policy-forward -j ACCEPT
    -A ufw-skip-to-policy-input -j DROP
    -A ufw-skip-to-policy-output -j ACCEPT
    -A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
    -A ufw-user-input -p tcp -m tcp --dport 22 -m comment --comment "\'dapp_OpenSSH\'" -j ACCEPT
    -A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
    -A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
    -A ufw-user-limit-accept -j ACCEPT
    COMMIT
    # Completed on Mon May 15 20:20:11 2023
  • Почему не проходит трафик OpenVPN?

    @primarch_sangvinius Автор вопроса
    AlexVWill,
    кофиг сервер
    port 443
    proto tcp-server
    port-share 127.0.0.1 4443
    dev tun
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/server.crt
    key /etc/openvpn/server.key
    dh /etc/openvpn/dh.pem
    server 10.8.0.0 255.255.255.0
    ifconfig-pool-persist /var/log/openvpn/ipp.txt
    push "redirect-gateway def1 bypass-dhcp"
    push "dhcp-option DNS 8.8.8.8"
    push "dhcp-option DNS 8.8.8.8"
    keepalive 10 120
    persist-local-ip
    tls-auth /etc/openvpn/ta.key
    cipher AES-256-CBC
    persist-key
    persist-tun
    status /var/log/openvpn/openvpn-status.log
    verb 3
    client-to-client


    кофиг клиент
    client
    dev tun
    proto tcp-client
    remote *цензура* 443
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    persist-local-ip
    remote-cert-tls server
    cipher AES-256-CBC
    client-to-client
    verb 3
    <cert>
    *цензура*
    </cert>
    <ca>
    *цензура*
    </ca>
    <key>
    *цензура*
    </key>
    <tls-auth>
    *цензура*
    </tls-auth>
  • Почему не проходит трафик OpenVPN?

    @primarch_sangvinius Автор вопроса
    AlexVWill,
    root@gate:~# ip -br a
    lo               UNKNOWN        127.0.0.1/8 ::1/128
    ens3             UP             *цензура*/24 2a03:e340:0:2::1ff/64 fe80::5054:ff:fecb:3ac4/64
    tun0             UNKNOWN        10.8.0.1 peer 10.8.0.2/32 fe80::4189:26ef:4366:ca50/64


    точно tun
  • Почему не проходит трафик OpenVPN?

    @primarch_sangvinius Автор вопроса
    Valentin Barbolin, единичка. да, про него написать забыл

    слушай, яж на tcp протоколе. мб iptables для tcp что-то еще указывать надо?
  • Почему скорость загрузки под SoftEther низкая?

    @primarch_sangvinius Автор вопроса
    Drno, CityCat4, я, короче, психанул, и накатил чистый sstp, через три Солнца завел его с телефона (MS-SSTP VPN). потестим, как где работает...
  • Почему скорость загрузки под SoftEther низкая?

    @primarch_sangvinius Автор вопроса
    Drno, мб шаришь. тут есть ответ на вопрос, но не очень понимаю, что происходит
  • Почему скорость загрузки под SoftEther низкая?

    @primarch_sangvinius Автор вопроса
    Drno, сейчас попробуем... не факт, правда, что поможет. говорят, в РФ мобильные операторы ovpn срезают, и не совсем понятно, по какому признаку
  • Как прокинуть маршруты между клиентами OpenVPN?

    @primarch_sangvinius Автор вопроса
    что-то подобное видел, но... опять же, не совсем понимаю, как использовать. мне требуется прокинуть между, условно, адресами 10.8.0.34 и 10.8.0.38, а там разделение по группам между подсетками. да, возможно, ответ там и есть, но мне не совсем понятен
  • Как настроить UFW, чтобы пропускал подключения OpenVPN?

    @primarch_sangvinius Автор вопроса
    Andrey Barbolin, неа. кстати, логи подключения. где IP там цифры, просто здесь заменил.

    22:46:46.908 -- ----- OpenVPN Start -----

    22:46:46.909 -- EVENT: CORE_THREAD_ACTIVE

    22:46:46.914 -- OpenVPN core 3.git::d3f8b18b:Release android arm64 64-bit PT_PROXY

    22:46:46.915 -- Frame=512/2048/512 mssfix-ctrl=1250

    22:46:46.919 -- UNUSED OPTIONS
    4 [resolv-retry] [infinite]
    5 [nobind]
    6 [persist-key]
    7 [persist-tun]
    8 [persist-local-ip]
    11 [verb] [3]

    22:46:46.920 -- EVENT: RESOLVE

    22:46:46.928 -- Contacting IP:1194 via UDP

    22:46:46.929 -- EVENT: WAIT

    22:46:46.939 -- Connecting to [IP]:1194 (IP) via UDPv4

    22:46:56.922 -- Server poll timeout, trying next remote entry...

    22:46:56.925 -- EVENT: RECONNECTING

    22:46:56.929 -- EVENT: RESOLVE

    22:46:56.937 -- Contacting IP:1194 via UDP

    22:46:56.938 -- EVENT: WAIT

    22:46:56.946 -- Connecting to [IP]:1194 (IP) via UDPv4

    если подрубать ведение журнала openVPN, то там попыток подключения этих нет вообще. то есть до openVPN не доходит в принципе
  • Как настроить UFW, чтобы пропускал подключения OpenVPN?

    @primarch_sangvinius Автор вопроса
    -A OUTPUT -j ufw-before-output
    -A OUTPUT -j ufw-after-output
    -A OUTPUT -j ufw-after-logging-output
    -A OUTPUT -j ufw-reject-output
    -A OUTPUT -j ufw-track-output
    -A ALLOWIN -m set --match-set chain_ALLOW src -j ACCEPT
    -A ALLOWOUT ! -o lo -p udp -m owner --uid-owner 0 -j ACCEPT
    -A ALLOWOUT ! -o lo -p tcp -m owner --uid-owner 0 -j ACCEPT
    -A ALLOWOUT -m set --match-set chain_ALLOW dst -j ACCEPT
    -A DENYIN -m set --match-set chain_DENY src -j DROP
    -A DENYOUT -m set --match-set chain_DENY dst -j LOGDROPOUT
    -A INVALID -m conntrack --ctstate INVALID -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags FIN,ACK FIN -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags PSH,ACK PSH -j INVDROP
    -A INVALID -p tcp -m tcp --tcp-flags ACK,URG URG -j INVDROP
    -A INVALID -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j INVDROP
    -A INVDROP -j DROP
    -A LOCALINPUT ! -i lo -j ALLOWIN
    -A LOCALINPUT ! -i lo -j DENYIN
    -A LOCALOUTPUT ! -o lo -j ALLOWOUT
    -A LOCALOUTPUT ! -o lo -j DENYOUT
    -A LOGDROPIN -p tcp -m tcp --dport 23 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 23 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 67 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 67 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 68 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 68 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 111 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 111 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 113 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 113 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 135:139 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 135:139 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 445 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 445 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 500 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 500 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 513 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 513 -j DROP
    -A LOGDROPIN -p tcp -m tcp --dport 520 -j DROP
    -A LOGDROPIN -p udp -m udp --dport 520 -j DROP
    -A LOGDROPIN -p tcp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *TCP_IN Blocked* "
    -A LOGDROPIN -p udp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *UDP_IN Blocked* "
    -A LOGDROPIN -p icmp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *ICMP_IN Blocked* "
    -A LOGDROPIN -j DROP
    -A LOGDROPOUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 30/min -j LOG --log-prefix "Firewall: *TCP_OUT Blocked* " --log-uid
    -A LOGDROPOUT -p udp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *UDP_OUT Blocked* " --log-uid
    -A LOGDROPOUT -p icmp -m limit --limit 30/min -j LOG --log-prefix "Firewall: *ICMP_OUT Blocked* " --log-uid
    -A LOGDROPOUT -j REJECT --reject-with icmp-port-unreachable
    -A SMTPOUTPUT -o lo -p tcp -m multiport --dports 25,465,587 -j ACCEPT
    -A SMTPOUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 8 -j ACCEPT
    -A SMTPOUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --uid-owner 0 -j ACCEPT
    -A SMTPOUTPUT -p tcp -m multiport --dports 25,465,587 -j LOGDROPOUT
    -A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
    -A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
    -A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
    -A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
    -A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
    -A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
    -A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
    -A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
    -A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
    -A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A ufw-before-forward -j ufw-user-forward
    -A ufw-before-input -i lo -j ACCEPT
    -A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
    -A ufw-before-input -m conntrack --ctstate INVALID -j DROP
    -A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
    -A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
    -A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
    -A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
    -A ufw-before-input -j ufw-not-local
    -A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
    -A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
    -A ufw-before-input -j ufw-user-input
    -A ufw-before-output -o lo -j ACCEPT
    -A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A ufw-before-output -j ufw-user-output
    -A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
    -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
    -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
    -A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
    -A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
    -A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
    -A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
    -A ufw-not-local -j DROP
    -A ufw-skip-to-policy-forward -j ACCEPT
    -A ufw-skip-to-policy-input -j DROP
    -A ufw-skip-to-policy-output -j ACCEPT
    -A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
    -A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
    -A ufw-user-input -p tcp -m tcp --dport 22 -m comment --comment "\'dapp_OpenSSH\'" -j ACCEPT
    -A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
    -A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
    -A ufw-user-limit-accept -j ACCEPT
    COMMIT
    # Completed on Thu Dec 15 22:30:08 2022
  • Как настроить UFW, чтобы пропускал подключения OpenVPN?

    @primarch_sangvinius Автор вопроса
    Andrey Barbolin
    # Generated by iptables-save v1.8.4 on Thu Dec 15 22:30:08 2022
    *mangle
    :PREROUTING ACCEPT [44069:24767424]
    :INPUT ACCEPT [19841:10069395]
    :FORWARD ACCEPT [24152:14693660]
    :OUTPUT ACCEPT [22745:13585761]
    :POSTROUTING ACCEPT [46870:28278017]
    COMMIT
    # Completed on Thu Dec 15 22:30:08 2022
    # Generated by iptables-save v1.8.4 on Thu Dec 15 22:30:08 2022
    *raw
    :PREROUTING ACCEPT [44069:24767424]
    :OUTPUT ACCEPT [22751:13586481]
    COMMIT
    # Completed on Thu Dec 15 22:30:08 2022
    # Generated by iptables-save v1.8.4 on Thu Dec 15 22:30:08 2022
    *nat
    :PREROUTING ACCEPT [513:66577]
    :INPUT ACCEPT [223:11709]
    :OUTPUT ACCEPT [61:4702]
    :POSTROUTING ACCEPT [61:4702]
    -A POSTROUTING -s 10.0.0.0/8 -o ens3 -j MASQUERADE
    -A POSTROUTING -s 10.0.0.0/8 -o ens3 -j MASQUERADE
    COMMIT
    # Completed on Thu Dec 15 22:30:08 2022
    # Generated by iptables-save v1.8.4 on Thu Dec 15 22:30:08 2022
    *filter
    :INPUT DROP [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :ALLOWIN - [0:0]
    :ALLOWOUT - [0:0]
    :DENYIN - [0:0]
    :DENYOUT - [0:0]
    :INVALID - [0:0]
    :INVDROP - [0:0]
    :LOCALINPUT - [0:0]
    :LOCALOUTPUT - [0:0]
    :LOGDROPIN - [0:0]
    :LOGDROPOUT - [0:0]
    :SMTPOUTPUT - [0:0]
    :ufw-after-forward - [0:0]
    :ufw-after-input - [0:0]
    :ufw-after-logging-forward - [0:0]
    :ufw-after-logging-input - [0:0]
    :ufw-after-logging-output - [0:0]
    :ufw-after-output - [0:0]
    :ufw-before-forward - [0:0]
    :ufw-before-input - [0:0]
    :ufw-before-logging-forward - [0:0]
    :ufw-before-logging-input - [0:0]
    :ufw-before-logging-output - [0:0]
    :ufw-before-output - [0:0]
    :ufw-logging-allow - [0:0]
    :ufw-logging-deny - [0:0]
    :ufw-not-local - [0:0]
    :ufw-reject-forward - [0:0]
    :ufw-reject-input - [0:0]
    :ufw-reject-output - [0:0]
    :ufw-skip-to-policy-forward - [0:0]
    :ufw-skip-to-policy-input - [0:0]
    :ufw-skip-to-policy-output - [0:0]
    :ufw-track-forward - [0:0]
    :ufw-track-input - [0:0]
    :ufw-track-output - [0:0]
    :ufw-user-forward - [0:0]
    :ufw-user-input - [0:0]
    :ufw-user-limit - [0:0]
    :ufw-user-limit-accept - [0:0]
    :ufw-user-logging-forward - [0:0]
    :ufw-user-logging-input - [0:0]
    :ufw-user-logging-output - [0:0]
    :ufw-user-output - [0:0]
    -A INPUT ! -i lo -j LOCALINPUT
    -A INPUT -i lo -j ACCEPT
    -A INPUT ! -i lo -p tcp -j INVALID
    -A INPUT ! -i lo -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
    -A INPUT ! -i lo -p icmp -m icmp --icmp-type 8 -j LOGDROPIN
    -A INPUT ! -i lo -p icmp -j ACCEPT
    -A INPUT ! -i lo -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 20 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 21 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 25 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 53 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 80 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 110 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 143 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 443 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 465 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 587 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 993 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 995 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 2222 -j ACCEPT
    -A INPUT ! -i lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 35000:35999 -j ACCEPT
    -A INPUT ! -i lo -p udp -m conntrack --ctstate NEW -m udp --dport 20 -j ACCEPT
    -A INPUT ! -i lo -p udp -m conntrack --ctstate NEW -m udp --dport 21 -j ACCEPT
    -A INPUT ! -i lo -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
    -A INPUT ! -i lo -p udp -m conntrack --ctstate NEW -m udp --dport 80 -j ACCEPT
    -A INPUT ! -i lo -p udp -m conntrack --ctstate NEW -m udp --dport 443 -j ACCEPT
    -A INPUT ! -i lo -j LOGDROPIN
    -A INPUT -j ufw-before-logging-input
    -A INPUT -j ufw-before-input
    -A INPUT -j ufw-after-input
    -A INPUT -j ufw-after-logging-input
    -A INPUT -j ufw-reject-input
    -A INPUT -j ufw-track-input
    -A FORWARD -j ufw-before-logging-forward
    -A FORWARD -j ufw-before-forward
    -A FORWARD -j ufw-after-forward
    -A FORWARD -j ufw-after-logging-forward
    -A FORWARD -j ufw-reject-forward
    -A FORWARD -j ufw-track-forward
    -A OUTPUT ! -o lo -j LOCALOUTPUT
    -A OUTPUT ! -o lo -p tcp -m tcp --dport 53 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m udp --dport 53 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m tcp --sport 53 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m udp --sport 53 -j ACCEPT
    -A OUTPUT -j SMTPOUTPUT
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -j INVALID
    -A OUTPUT ! -o lo -p icmp -j ACCEPT
    -A OUTPUT ! -o lo -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 143 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 20 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 21 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 25 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 53 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 80 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 110 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 113 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 443 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 587 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 993 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 995 -j ACCEPT
    -A OUTPUT ! -o lo -p tcp -m conntrack --ctstate NEW -m tcp --dport 2222 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m conntrack --ctstate NEW -m udp --dport 20 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m conntrack --ctstate NEW -m udp --dport 21 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m conntrack --ctstate NEW -m udp --dport 113 -j ACCEPT
    -A OUTPUT ! -o lo -p udp -m conntrack --ctstate NEW -m udp --dport 123 -j ACCEPT
    -A OUTPUT ! -o lo -j LOGDROPOUT
    -A OUTPUT -j ufw-before-logging-output
  • Как настроить UFW, чтобы пропускал подключения OpenVPN?

    @primarch_sangvinius Автор вопроса
    Andrey Barbolin, хм... ну факт, вот 1194 слушается.
    275/systemd-resolve
    udp 0 0 0.0.0.0:1194 0.0.0.0:*

    так же текущее подключение
    60452/openvpn
    udp6 0 0 ::1:53 :::*

    почему тогда срезаются остальные подключения, вне домашнего вайфая - не ясно мне...
    переустанавливать машину, чтобы проверить работу без ufw - такое себе дело
  • Как настроить UFW, чтобы пропускал подключения OpenVPN?

    @primarch_sangvinius Автор вопроса
    Andrey Barbolin, если я правильно понимаю, он чекает только актив соединения так. порт 1194 он не покажет

    а вообще, новая вводная, я в коммах под ответом ниже оставил
    "причем, анекдот. с домашнего вайфая он меня пускает. с мобильной сети уже нет.
    я бы подумал, что DPI срез делает или около того, но такая фигня что в России, что в Белоруссии, что в Чехии"
  • Как удалить редирект c https на http для localhost?

    @primarch_sangvinius
    а что конкретно сбрасывал? ssl сертификаты?
    мне переустановка браузера помогла, по итогу.
  • Как настроить ping между компьютерами внутри Openvpn?

    @primarch_sangvinius Автор вопроса
    AlexVWill, у меня файлосеврер это NAS, т.е "какой-то" файл-сервер у меня поднят прям с коробки. и нет, из сети до него не достучаться было, пока client-to-client не врубил
  • Как настроить ping между компьютерами внутри Openvpn?

    @primarch_sangvinius Автор вопроса
    AlexVWill, окей, а есть вариант настроить, чтобы внутри сетки пинговалась только файлосервер? т.е. компы друг-друга не видят, но видят файлосервер?