Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Ограничить доступ к 80 порту, только при vpn подключении"	+/–
Сообщение от ll75 (ok), 12-Дек-18, 13:39
Пытаюсь сделать так: # iptables -A INPUT -i tun+ -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -p tcp --dport 80 -j REJECT и так # iptables -A INPUT -i tun0 -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -p tcp --dport 80 -j REJECT Но все равно порт 80 доступен снаружи((
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
Сообщение от ыфективный манагер (?), 12-Дек-18, 15:35
всю цепочку покажи, да? порядок в котором добавляются правила _имеет_ значение ....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ll75 (ok), 12-Дек-18, 16:57
	> всю цепочку покажи, да? > порядок в котором добавляются правила _имеет_ значение .... # iptables -L -n --line-numbers | less Chain INPUT (policy ACCEPT) num  target     prot opt source               destination         1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */ 2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 3    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) num  target     prot opt source               destination         1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */ 2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */ 3    DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0           4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED 5    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED 9    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED 13   DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           14   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           15   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           16   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED 17   DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           18   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           19   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT) num  target     prot opt source               destination         1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */ Chain DOCKER (4 references) num  target     prot opt source               destination         1    ACCEPT     tcp  --  0.0.0.0/0            172.20.0.4           tcp dpt:8080 Chain DOCKER-ISOLATION (1 references) num  target     prot opt source               destination         1    DROP       all  --  0.0.0.0/0            0.0.0.0/0           2    DROP       all  --  0.0.0.0/0            0.0.0.0/0           3    DROP       all  --  0.0.0.0/0            0.0.0.0/0           4    DROP       all  --  0.0.0.0/0            0.0.0.0/0           5    DROP       all  --  0.0.0.0/0            0.0.0.0/0           6    DROP       all  --  0.0.0.0/0            0.0.0.0/0           7    DROP       all  --  0.0.0.0/0            0.0.0.0/0           8    DROP       all  --  0.0.0.0/0            0.0.0.0/0           9    DROP       all  --  0.0.0.0/0            0.0.0.0/0           10   DROP       all  --  0.0.0.0/0            0.0.0.0/0           11   DROP       all  --  0.0.0.0/0            0.0.0.0/0           12   DROP       all  --  0.0.0.0/0            0.0.0.0/0           13   RETURN     all  --  0.0.0.0/0            0.0.0.0/0
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ыфективный манагер (?), 12-Дек-18, 18:21
	>[оверквотинг удален] >> порядок в котором добавляются правила _имеет_ значение .... > # iptables -L -n --line-numbers | less > Chain INPUT (policy ACCEPT) > num  target     prot opt source   >             >  destination > 1    ACCEPT     all  -- >  0.0.0.0/0           >   0.0.0.0/0         >    /* pritunl-5c10df1c2cc5cb00233a5e5a */ первое же правило делает ACCEPT дальше пакеты не пойдут ... делай insert а не add
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ll75 (ok), 12-Дек-18, 18:46
	> первое же правило делает ACCEPT дальше пакеты не пойдут ... > делай insert а не add попробовал так: # iptables -I INPUT 1 -p tcp --dport 80 -j DROP # ip6tables -I INPUT 1 -p tcp --dport 80 -j DROP но не помогло, правила применились, а порт 80 снаружи доступен... Сейчас: # ip6tables -L -n --line-numbers | less Chain INPUT (policy ACCEPT) num  target     prot opt source               destination         1    DROP       tcp      ::/0                 ::/0                 tcp dpt:80 2    ACCEPT     all      ::/0                 ::/0                 /* pritunl-5c1124fa2cc5cb00230c8e7a */ 3    ACCEPT     all      ::/0                 ::/0                 /* pritunl-5c10df1c2cc5cb00233a5e5a */ и # iptables -L -n --line-numbers | less Chain INPUT (policy ACCEPT) num  target     prot opt source               destination         1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c1124fa2cc5cb00230c8e7a */
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ыфективный манагер (?), 13-Дек-18, 15:31
	я вижу там типа докеры  ... для того что бы получить нормальный ответ для начала следует научится задавать вопросы откуда файер? с хоста? где 80й порт слушает на хосте или в докере?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ll75 (ok), 13-Дек-18, 16:02
	> для того что бы получить нормальный ответ для начала следует научится задавать > вопросы > откуда файер? с хоста? > где 80й порт слушает на хосте или в докере? файер с хоста. 80й порт на докере # netstat -ntlp | grep 80 tcp6       0      0 :::80                   :::*                    LISTEN      23979/docker-proxy
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ыфективный манагер (?), 13-Дек-18, 17:18
	>> для того что бы получить нормальный ответ для начала следует научится задавать >> вопросы >> откуда файер? с хоста? >> где 80й порт слушает на хосте или в докере? > файер с хоста. 80й порт на докере ну тады не input/output а forward юзать надо ... короче марш читать документацию iptables
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Ограничить доступ к 80 порту, только при vpn подключении"	+/–
	Сообщение от ll75 (ok), 14-Дек-18, 13:10
	> ну тады не input/output а forward юзать надо ... > короче марш читать документацию iptables попробовал добавлять правила с ip6tables FORWARD, тоже не работает, наверное надо изменять docker-compose.yml
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема