REDIRECT --to-недоступный-снаружи-port

0

1

Всем привет.

В огонь-стене поставил перенаправление с 80 на 4000 порт. Политика по умолчанию -P INPUT DROP. Открыл оба порта (так --state NEW --dport 4000 -j ACCEPT). Хочу, чтобы 4000-й был недоступен извне ни для коннекта, ни для сканирования. Возможно?

Ссылка

←	OpenVPN сеть за клиентом Windows

Как сменть IP адрес (локальный) через telnet для Роутера NETIS WF2411?

→

Как-то непонятно зачем такое вообще может понадобиться.

anc ★★★★★
(27.02.16 04:22:11 MSK)

Ссылка

Кто-нибудь знает, возможно это вообще или нет?

rmu ★★
(27.02.16 19:24:23 MSK) автор топика

Ответ на: комментарий от rmu 27.02.16 19:24:23 MSK

Дарагой, ты похоже читать не умеешь. Повторюсь «Как-то непонятно зачем такое вообще может понадобиться.»
У тебя есть конкретный порт 4000 на котором отвечает некая программа. Редиректы на этот порт только множат кол-во портов и ответы будут такими же как если бы обратились на порт 4000. В чем смысл Карл?

anc ★★★★★
(27.02.16 19:44:22 MSK)

Ссылка

-P INPUT DROP

--state NEW --dport 4000 -j ACCEPT

Что, важны только ″NEW″ пакеты?

А на вопрос ответ — «Возможно». Закройте порт 4000 в таблице mangle.

mky ★★★★★
(27.02.16 22:58:36 MSK)

Ответ на: комментарий от mky 27.02.16 22:58:36 MSK

Спасибо, направление понятно.

rmu ★★
(28.02.16 16:27:49 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 27.02.16 22:58:36 MSK

Что, важны только ″NEW″ пакеты?

В самых разных блогах и руководствах, здесь, например, рекомендуют открывать порты так:

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

Я не понимаю зачем? Почему нельзя просто так:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Безопаснее так что ли?

rmu ★★
(28.02.16 16:40:23 MSK) автор топика

Ответ на: комментарий от mky 27.02.16 22:58:36 MSK

Закрыл

iptables-t mangle -A PREROUTING -i venet0 -p tcp --dport 4000 -j DROP

4000-й порт снаружи закрыт, трафик с 80-го перенаправляется, сайт открывается. Спасибо, mky

rmu ★★
(28.02.16 17:36:46 MSK) автор топика

Ссылка

Ответ на: комментарий от rmu 28.02.16 16:40:23 MSK

Если это единственное правило:

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

политика по умолчанию -P INPUT DROP и других правил нет, то работать не будет, т.к. следующие после первого пакета уже не будут иметь состояния NEW.

Я не понимаю зачем? Почему нельзя просто так:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Если не нужно чего-то специфичного, то это как раз правильно.

anc ★★★★★
(29.02.16 04:07:42 MSK)

Ответ на: комментарий от anc 29.02.16 04:07:42 MSK

Если не нужно чего-то специфичного, то это как раз правильно.

Беру на заметку

rmu ★★
(29.02.16 11:45:56 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN сеть за клиентом Windows

Admin

Как сменть IP адрес (локальный) через telnet для Роутера NETIS WF2411?

→

Похожие темы