Есть сервер, хочу реализовать на нем проксмокс с виртуалками. Но и хочу ограничить доступ на него. Настраиваю IPTABLES делаю порт кнокинг по пингу и добавляю айпишник в разрешенный лист на 2 минуты потом правило INPUT - ESTABLISHED,RELATED и правило доступа к порту 8006 для управления веб мордой Проксмокса с адресами разрешенными из списка порткнокинга. Пока адрес висит в этом списке то все работает но через 2 минуты перестает работать. почему не работает правило ESTABLISHED,RELATED? Где ошибка ткните носом пожалуйста. Вот конфиг.
#!/bin/bash
# Объявление переменных
export IPT="iptables"
# Активный сетевой интерфейс
export WAN=vmbr0
# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
#Запрет любого трафика по ipv6
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#Port Knockung
$IPT -A INPUT -p icmp --icmp-type echo-request -m length --length 65 -j SET --add-set knock_step_1 src
$IPT -A INPUT -p icmp --icmp-type echo-request -m length --length 854 -m set --match-set knock_step_1 src -j SET --add-set knock_step_2 src
$IPT -A INPUT -p icmp --icmp-type echo-request -m length --length 254 -m set --match-set knock_step_2 src -j SET --add-set knock_allow src --exist
# разрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Защита от SYN-flood:
$IPT -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A INPUT -p tcp --syn -j DROP
#Защита от сканеров портов:
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
#Защита от Ping of death:
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP
# Открываем порт для Proxmox
$IPT -A INPUT -i $WAN -p tcp --dport 8006 -m set --match-set knock_allow src -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT
# Записываем правила в файл
/sbin/iptables-save > /etc/iptables_rules
