iptables, или как закрыть порт

0

1

hello world

В продолжение предыдущей моей темы из этого раздела.

Обнаружил, что к виртуалке на сервере можно подключиться не только по server_wg_ip:32101, но и по server_public_ip:32101 (порт 32101 пробрасывается в виртуалку как порт 3389) - что в общем-то неудивительно. Перезапустил libvirt, сделал iptables -A INPUT -p tcp -d server_public_ip --destination-port 32101 -j DROP, запустил вм - а подключаться по server_public_ip:32101 всё ещё можно (я хочу, чтобы подключение по публичному IP блокировалось, а по WireGuard-адресу разрешалось). ЧЯДНТ?

Меня ещё интересует вот что: можно ли сделать «master»-правило (т.е. ему было бы фиолетово на то, что там в хуке наизменял libvirt, например) iptables, которое блокировало бы все порты на enpNsX и потом разрешало бы конкретные? А там уже можно аналогично разрешить только нужное по интерфейсу wgN.

UPD: решение.

Ссылка

←	Помогите - KDE systemsettings не дружит с polkit

Современный VPN-протокол.

→

man iptables

PREROUTING раньше INPUT.

я хочу, чтобы подключение по публичному IP блокировалось, а по WireGuard-адресу разрешалось

Ошибка в логике. Надо dnat-ить не на все интерфейсы, а на нужный, и не надо будет ничего запрещать дополнительно.

~~zemidius~~ ★
(26.09.21 14:20:00 MSK)
Последнее исправление: zemidius 26.09.21 14:21:42 MSK (всего исправлений: 1)

Ответ на: комментарий от zemidius 26.09.21 14:20:00 MSK

Спасибо!

Условно говоря, мне нужно заменить исходную команду для FORWARD в хуке на что-то вроде iptables -I FORWARD -o virbr0 -i wg0 -p tcp -d $GUEST_IP --dport $GUEST_PORT -j ACCEPT?

(снова на ходу, снова с телефона, не могу толком залезть в ман)

mradermaxlol ★
(26.09.21 14:26:49 MSK) автор топика

Ответ на: комментарий от mradermaxlol 26.09.21 14:26:49 MSK

Ну я бы посоветовал и в FORWARD и в PREROUTING. Для порядка.

~~zemidius~~ ★
(26.09.21 14:30:06 MSK)

https://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables...

anc ★★★★★
(26.09.21 17:32:30 MSK)

Ссылка

Ответ на: комментарий от zemidius 26.09.21 14:30:06 MSK

И в POSTROUTING и в INPUT и в OUTPUT... и не только в filter но и в raw, mangle, nat и если используется то и в security... ну шо бы уж точно не промахнуться.

anc ★★★★★
(26.09.21 17:45:06 MSK)

Ответ на: комментарий от anc 26.09.21 17:45:06 MSK

У человека указаны PREROUTING и FORWARD. Причем тут остальные цепи?

~~zemidius~~ ★
(26.09.21 18:20:02 MSK)

Ответ на: комментарий от zemidius 26.09.21 18:20:02 MSK

И что? Пакет перестал проходить POSTROUTING ? Или другие таблицы?

anc ★★★★★
(26.09.21 18:26:05 MSK)

Ответ на: комментарий от anc 26.09.21 18:26:05 MSK

А это тут причем?

~~zemidius~~ ★
(26.09.21 18:57:32 MSK)

Ответ на: комментарий от zemidius 26.09.21 18:57:32 MSK

А причем «и в FORWARD и в PREROUTING. Для порядка.» ? Для какого «порядка»?

anc ★★★★★
(26.09.21 19:34:43 MSK)

Блокирование проброшенного порта нужно делать в таблице forward если ты пишешь правило блокировки на шлюзе где делается проброс.

anonymous
(26.09.21 19:43:55 MSK)

Ответ на: комментарий от anonymous 26.09.21 19:43:55 MSK

таблице forward

forward это цепочка, а не таблица ;) Таблица это то, что после ключика -t filter,raw... ;)

anc ★★★★★
(26.09.21 21:13:54 MSK)

Спасибо ~~zemidius~~ и anc, достаточно было указания интерфейса wg0 в правилах внутри хука. В ближайшее время повникаю в то, как все эти правила работают, и может быть добавлю чего и для других цепочек.