Покажи вывод iptables-save с машины с каким IP адресом ты подключаешься?

iptables-save

# Generated by iptables-save v1.6.0 on Thu Feb 22 23:15:22 2018
*filter
:INPUT ACCEPT [11752:4014531]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12991:2763761]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -d 192.168.1.10/32 -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
COMMIT

а теперь посмотри на строчку output почему у тебя адрес назначения твой интерфейс, тоже и со строкой input

Адрес

Ну так я пробую сам к себе же telnet. Кстати, для примера поставил openssh. Тут же заработал порт 22. Он же прописан в iptables.

Опять потёр всё. Сделал вот это:

iptables -A INPUT -s 192.168.1.1/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT

Это точно должно сработать! Но, фиг там!

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT

Должно работать.

Давайте еще раз: на input у вас приходят пакеты из вне, на output пакеты уходят во вне. Т.е для приема вы должны разрешить доступ с любого или из диапазона адреcа на порт 3128 т.е примерно так

-A INPUT -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT

 -A INPUT -i lo -j ACCEPT 
 -A OUTPUT -o lo -j ACCEPT

Не пускает всё равно. (( Самое интересное, что при не прописанном 22м порте в iptables он его пускает. Как?

А на 3128/tcp у вас хоть что-то слушает?

netstat -anp |grep 3128

А порт 3128 кто-нибудь слушает?

Так-то у тебя policy ACCEPT, т.е. по сути весь входящий трафик разрешен. И исходящий.

Просто переводит на новую строку в баше.

ЧТД

вообще должен слушать squid

Получается, порт просто пустой? Его ничто не использует? Из-за этого?

ну если никого нет - то кто ответит?

Вот как обычно, плавно переходим от темы топика к другой теме «пачаму у меня не работает squid?».
Вам не кажется что разумнее сначала настроить squid, а уже потом настраивать fw ?

Дык как squid-то проверять. Ну да ладно. Потопал тупить со squid. Спасибо!

никаких прозрачных проксей у меня нет и не прозрачных. Для начала - я просто ну никак не могу открыть порт.
никаких прозрачных проксей у меня нет и не прозрачных.

Опааааа. Перечитал топик. Так у вас вообще ничего на нем нет? Вы тупо начали с fw не настроив squid?

Да. Я оригинальный ламер) Или не оригинальный. В общем, ламер)

прежде чем со squid возиться, это тоже не быстро, можете поменять порт у sshd на 3128 - и отстраивать фаярвол

Спасибо! Как раз для меня проще будет!

Эй. вы сейчас ребенка плохому научите. Нах это ему нужно? У него внутренняя сеть, какиры из инета массово не набегут, максимум соседи.

Если интересна отладка fw как такового. Это отдельная задача. Мухи отдельно, котлеты отдельно.

да знаю что плохому, но со сквидом он еще пару суток возиться будет пока въедет, там же тоже подводных камней как грязи, а так надеюсь додумается отстроить часть фаярвола и отключить на время настройки squid, а хотя он строит фаярвол по открытому принципу - вы правы - лучше сначала все отстроить, потом закрываться

3128 пустил после изменения конфига ssh. Спасибо. Буду дальше разбираться.

Спасибо всем огромное!!!

Ну даже если предлагать варианты, что бы кто-то слушал, вам не кажется, что вариант вида nc -l -p 3128 подходит лучше чем перевешивать демона на другой порт?

мне показалась это самым простым, кроме того а вдруг netcat отсуствует, у меня например он не установлен

Перевешивать рабочего демона, тем более такого как ssh только ради того что бы он слушал! на порту... это не самое простое, это верх идиотизма. Уж простите за грубость не сдержался.
Установить netcat дело двух минут. Это не гном с кедами.

Но если серьезно, то сам подход ТС неправильный. Предположим есть существующий fw и он полностью устраивает. К нему только надо добавить правила для кальмара. В этом случае тут уже все обсудили. Все верно. Или ТС первый раз увидел fw, так тут одним вариантом «перевесить демона» не решить, если там все в ACCEPT.

да почему идеотизм то, перевел проверил вернул назад,он же насколько я понял на локал хосте весит, абсолютно без потери контроля, и все равно порт ssh меняют, как одну из ступений безопасности, ему сейчас важно убедится что он сделал правильно. Хотя я бы всеже отстроил сначало все, да и фаярвол мне привычно по закрытому принципу отстраивать

Invaders must die || Take me to hospital
Вы действительно не понимаете идиотизма вашего предложения? Или это просто праздник (23-е), поэтому так получилось?

А зачем тебе открывать порт, если у тебя все равно запретов не стоит и все порты открыты и так?

Вы тупо начали с fw не настроив squid?

Можно было догадаться по тому, что он не может подключиться к порту, тогда как запретов на подключение нет все равно

Да шо ви говорите... Топик не читай сазу отвечай?
ЗЫ Шож я такой злой сегодня, сам не пойму.

пойдите выпейте в честь 23, а то действительно слишком злой, прям весь мир черный и белый и никаких допущений

Пробовал через UFW открыть порт? Была такая проблема, открывал через ufw, iptables он вообще не воспринимал за серьёзность.