Firewall. Открыть только доступ к VPN серверу

#iptables -t filter -A INPUT -p tcp --destination-port 47 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --destination-port 1723 -j ACCEPT

#iptables -t filter -P INPUT DROP

или тебе надо чтобы из твоей сети только на тот впн ходили?

человек вылетел с ssh )

:) Не, нужно чтобы можно было подключаться к этому серверу. И все. С него в инет нельзя.

Вообщем он нужен только для того, чтобы через него подключиться и поглядеть логи.

Пока выбрал вот это:
#!/bin/sh

# Переменная, задающая путь к файлу запуска iptables.
IPT="/sbin/iptables"

# Интернет интерфейс
INET_IFACE="ppp0"

# Внутренний интерфейс
INET_IFACE="eth0"

# Номера непривилегированных портов 
UNPRIPORTS="1024:65535"

start_fw()
{
    # Включить перенаправление пакетов через ядро.
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    # Сбросить правила и удалить цепочки.
    $IPT -F
    $IPT -X
    
    # Политики по умолчанию - запретить все
    $IPT -P INPUT DROP
    $IPT -P FORWARD ACCEPT
    $IPT -P OUTPUT DROP

    # Разрешаем прохождение любого трафика по интерфейсу обратной петли.
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT
    
    # Разрешаем прохождение любого трафика по внутренней сети
    $IPT -A INPUT -i eth0 -j ACCEPT
    $IPT -A OUTPUT -o eth0 -j ACCEPT
    
    # Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
    $IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
    # Разрешаем  ICMP соединение.
    $IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type source-quench -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type source-quench -j ACCEPT
    
    # Разрешаем себе ping наружу - нас же не попингуешь - пакеты отбрасываются.
    $IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT
    
    # VPN сервер разрешаем
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 47 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 47 -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 1723 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 1723 -j ACCEPT
    
    
    # DNS сервер имен разрешаем.
    #$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
    #$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
    #$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
    #$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT
    
}

case "$1" in
start)	echo -n "Starting firewall: iptables"
	start_fw
        echo "." 
	;;
stop)	echo -n "Stopping firewall: iptables"
	iptables -F
	iptables -X
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
        echo "."
        ;;
save)	echo -n "Saving firewall: iptables"
	iptables-save > /etc/rules-save
	echo "."
	;;    
restart) echo -n "Restarting firewall: iptables"
	iptables -F
	iptables -X
	cat /etc/rules-save | iptables-restore
        echo "."
        ;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
        echo "."
        ;;
*)	echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload"
        exit 1 
        ;;
esac
exit 0

Судя по 1723, это pptp, а дополнительно он использует не 47 порт, а 47 протокол aka gre

Можно поподробнее? Подскажи что нужно ACCEPT чтобы VPN клиент мог приконнектиться?

вместо "-p tcp -?port 47" надо делать "-p gre"