LINUX.ORG.RU
ФорумAdmin

iptables, не срабатывает новое правило

 , ,


0

1

Привет. Все правила вносил командами, сейчас понадобилось открыть доступ к ещё одному устройству «Pad» для syncthing порт 8384, внёс вручную в файл «/etc/iptables/rules.v4» продублировав строки с телефоном и изменив локальный IP. Но доступ почему-то не открывается. Если все правила на время удалить - всё ок. Что делаю не так?

*filter
:INPUT DROP [630:230230]
:FORWARD DROP [0:0]
:OUTPUT DROP [689:95106]
:LOGGING - [0:0]
-A INPUT -i enp4s0 -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -i enp4s0 -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i enp4s0 -p tcp -m tcp --dport 22 -m iprange --src-range 192.168.0.102-192.168.0.104 -m comment --comment "ALLOW SSH HOME" -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i enp4s0 -p tcp -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -p tcp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "Iptab: Req conct cli "
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags RST RST -j LOG --log-prefix "Iptab: Res conct cli "
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Iptab: Clos conct cli "
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK ACK -j LOG --log-prefix "Iptab: Conf clos cli "
-A INPUT -i enp4s0 -p tcp -m tcp --dport 8384 -m iprange --src-range 192.168.0.102-192.168.0.103 -m comment --comment "ALLOW Syncthing Notebook" -j ACCEPT
-A INPUT -s 192.168.0.104/32 -i enp4s0 -p tcp -m tcp --dport 8384 -m comment --comment "ALLOW Syncthing Phone" -j ACCEPT
-A INPUT -s 192.168.0.106/32 -i enp4s0 -p tcp -m tcp --dport 22000 -m comment --comment "ALLOW Syncthing Pad" -j ACCEPT
-A INPUT -s 192.168.0.106/32 -i enp4s0 -p tcp -m tcp --dport 8384 -m comment --comment "ALLOW Syncthing Pad" -j ACCEPT
-A INPUT -i enp4s0 -p tcp -m tcp --dport 22 -m iprange --src-range 192.168.0.102-192.168.0.104 -m comment --comment "ALLOW SSH HOME" -j ACCEPT
-A INPUT -s 77.137.272.93/32 -i enp4s0 -p tcp -m tcp --dport 22 -m comment --comment "ALLOW SSH TIME - FOR WORK IP" -m time --timestart 06:00:00 --timestop 14:00:00 --weekdays Mon,Tue,Wed,Thu,Fri --datestop 2038-01-19T03:14:07 -j ACC>
-A INPUT -j LOGGING
-A OUTPUT -o enp4s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o enp4s0 -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o enp4s0 -p tcp -m tcp --sport 22 -m iprange --dst-range 192.168.0.102-192.168.0.104 -m comment --comment "ALLOW SSH HOME" -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o enp4s0 -p tcp -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o lo -p tcp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 --tcp-flags FIN,SYN,RST,ACK SYN,ACK -j LOG --log-prefix "Iptab: Conf conct fr server: "
-A OUTPUT -p tcp -m tcp --sport 22 --tcp-flags RST RST -j LOG --log-prefix "Iptab: Res conct ser "
-A OUTPUT -p tcp -m tcp --sport 22 --tcp-flags SYN,ACK ACK -j LOG --log-prefix "Iptab: Conf clos ser "
-A OUTPUT -p tcp -m tcp --sport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Iptab: Clos conct ser "
-A OUTPUT -o enp4s0 -p tcp -m tcp --sport 8384 -m iprange --dst-range 192.168.0.102-192.168.0.103 -m comment --comment "ALLOW Syncthing Notebook" -j ACCEPT
-A OUTPUT -d 192.168.0.104/32 -o enp4s0 -p tcp -m tcp --sport 8384 -m comment --comment "ALLOW Syncthing Phone" -j ACCEPT
-A OUTPUT -d 192.168.0.106/32 -o enp4s0 -p tcp -m tcp --sport 22000 -m comment --comment "ALLOW Syncthing Pad" -j ACCEPT
-A OUTPUT -d 192.168.0.106/32 -o enp4s0 -p tcp -m tcp --sport 8384 -m comment --comment "ALLOW Syncthing Pad" -j ACCEPT
-A OUTPUT -o enp4s0 -p tcp -m tcp --sport 22 -m iprange --dst-range 192.168.0.102-192.168.0.104 -m comment --comment "ALLOW SSH HOME" -j ACCEPT
-A OUTPUT -d 77.137.272.93/32 -o enp4s0 -p tcp -m tcp --sport 22 -m comment --comment "ALLOW SSH TIME - FOR WORK IP" -m state --state ESTABLISHED -m time --timestart 06:00:00 --timestop 14:00:00 --weekdays Mon,Tue,Wed,Thu,Fri --dates>
-A OUTPUT -j LOGGING
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "Iptables-Dropped: "
-A LOGGING -j DROP
COMMIT
# Completed on Wed Mar 23 20:07:31 2022

Ответ на: комментарий от keir

счетчик у нового правила увеличивается (оно срабатывает)?

Где этот счётчик?

у вас есть логирование дропа - туда пакеты попадают?

Попробую вечером ещё раз подключится и отпишусь т.к. этот порт в локальной сети.

TheLinuxUser ★★
() автор топика

Что делаю не так?

Не описываете полностью задачу, предполагая что все телепаты ЛОРа вернулись из отпуска.
Ваше

внёс вручную в файл «/etc/iptables/rules.v4» продублировав строки с телефоном и изменив локальный IP. Но доступ почему-то не открывается.

напоминает «уборщицу» «я передвинула комод со шкафом, но телевизор так и не заработал»

anc ★★★★★
()

Чтобы дебажить такие вещи, рекомендую начинать с более простых правил. Открывать просто нужный порт или просто нужный IP. Без интерфейсов и вот это вот всё.

Резать OUTPUT, а тем более надеяться, что -sport будет всегда совпадать с портом, куда соединялись - не лучшая идея.

yu-boot ★★★★
()
Admin