В общем есть сервер с докером внутри. Недавно узнал что докер игнорирует правила в цепочке INPUT в iptables, а я закрывал все порты кроме RU,UA,KZ. Узнал когда боты обнаружили dns сервер и начали поступать миллионы запросов с разных уголков мира с разных хостеров по всему миру. Решил починить и загуглив нашел решение.
Сделал как указывал автор и чудо, порты закрылись для мира кроме 3 стран, но были исключения. Модуль geoip брал отсюда.
И вот собственно проблема. DNS сервер с блоком рекламы использую на андроиде (DoT), в настройках сети => частный днс сервер. Теперь когда днс указан в настройках, подключение к vpn, который тоже в докер на том же сервере не будет(vpn не отвечает). Мозги кипят, мои полномочия тут все. В чатах по линуксах, докерах в тг не знают в чем проблема. Поэтому пришел сюда с этим вопросом, если и тут потерплю фиаско, придется идти на реддит или стаковерфлоу :D
Правила iptables прилагаю в самом конце, это юзер правила, все остальное докер создает автоматически.
# Generated by iptables-save v1.8.7 on Fri Sep 9 11:16:43 2022
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FILTERS - [0:0]
:DOCKER-USER - [0:0]
-F INPUT
-F DOCKER-USER
-F FILTERS
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp --dport 22 -m geoip --src-cc RU -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j FILTERS
-A DOCKER-USER -i eth0 -j FILTERS
# Docker rule
-A FILTERS -p udp -m multiport --dports 53,443,500,4500 -m geoip --src-cc RU,UA,KZ,MD -j ACCEPT
-A FILTERS -p tcp -m multiport --dports 53,80,443,853 -m geoip --src-cc RU,UA,KZ,MD -j ACCEPT
COMMIT
# Completed on Fri Sep 9 11:16:43 2022
Перемещено hobbit из general
