IPTABLES Помогите Разобраться.

0

1

Есть сервер с двумя интерфейсами(enp4s0,enp5s0) на Debian 10. Создан Мост br0. Командой iptables -p FORWARD DROP блокирую трафик. потом командой iptables -A FORWARD -p tcp –dport 80 -j ACCEPT пытаюсь разблокировать трафик к 80 порту но ничего не происходит. более того командой iptables -A FORWARD -p tcp -j ACCEPT пытаюсь разблокировать ко всему трафику tcp но тоже бесполезно . зато такие команды как iptables -A FORWARD -p icmp -j ACCEPT; iptables -A FORWARD -p tcp –dport 80 -j ACCEPT; sudo iptables -A FORWARD -s 10.10.0.1 -j ACCEPT; отлично работают . что может быть не так ?

Ссылка

←	Система для cloud-завхоза

Почему может не работать доступ по ssh?

→

Трафик куда и кому вы пытаетесь открыть? Цепочка INPUT отвечает за входящий на сервер трафик предназначенный для сервера, цепочка OUTPUT - за исходящий трафик от сервера (его личный трафик), FORWARD - отвечает за трафик, который проходит сквозь сервер насквозь между интерфейсами. Соответственно правило iptables -A INPUT -p tcp –dport 80 -j ACCEPT - разрешает другим стучаться на ваш сервер по 80 порту.

Silerus ★★★★
(12.05.21 00:03:07 MSK)

iptables -P FORWARD DROP
iptables -A INPUT -p tcp –dport 80 -j ACCEPT

Так политику задаешь для FORWARD, а разрешаешь для INPUT? И не работает?

Создан Мост br0

Ты хочешь резать трафик который идёт в мосте? Тогда тебе нужен ebtables или установить флаг net.bridge.bridge-nf-call-iptables=1 в sysctl.

Tanger ★★★★★
(12.05.21 00:25:23 MSK)
Последнее исправление: Tanger 12.05.21 00:25:33 MSK (всего исправлений: 1)

Ответ на: комментарий от Silerus 12.05.21 00:03:07 MSK

я прошу прощения не правильно указал цепочку в вопросе не INPUT a FORWARD. мне нужно именно цепочка FORWARD . так как хочу резать трафик проходящий через сервер

Solderz
(12.05.21 19:53:18 MSK) автор топика

Ссылка

Ответ на: комментарий от Tanger 12.05.21 00:25:23 MSK

я прошу прощения не правильно указал цепочку в вопросе не INPUT a FORWARD. мне нужно именно цепочка FORWARD . так как хочу резать трафик проходящий через сервер . net.bridge.bridge-nf-call-iptables=1 этот параметр уже задан IPTABLES работает нормально я не могу разобраться с ограничениями по порту

Solderz
(12.05.21 19:54:21 MSK) автор топика

Ответ на: комментарий от Solderz 12.05.21 19:54:21 MSK

мне нужно именно цепочка FORWARD

Ты пускаешь пакеты в обе стороны, если порт назначения = 80. А вот ответы приходить не будут.

Разреши все пакеты от нужного сервера или разреши пакеты в состоянии established/related:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Tanger ★★★★★
(12.05.21 20:04:38 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Система для cloud-завхоза

Admin

Почему может не работать доступ по ssh?

→

Похожие темы