взял готовенькие настройки iptables

«готовенькие» для чего?

чтобы долго не мучаться

Ну потом помучаетесь, с таким подходом

возможно это не лучший путь...

А вы догадливый

Остались сомнения

Только сомнения?

Этой строчкой задумано, что трафик может пропускаться на 443 порт при условии, что будет установлено соединение VPN (подойдут логин и пароль)?

Ну в вашей вселенной и не такое может быть задумано.

2. Преобразование ip адреса выходного пакета, выданным dhcp сервером, в ip адрес сервера. Только -to-source это переводится как к источнику, а не от него? Или наоборот должно быть?
Преобразование ip адреса выходного пакета, выданным dhcp сервером, в ip адрес сервера.

Сильно завернули.

И ещё дополнительный вопрос, влияют ли настройки iptables на использование VNC client через панель управления VPS?

Убит.

По существу ответов нет, тяжёлый день был? :) Не хотите не отвечайте…

Дружище, так-то все верно тебе написали. Кроме правила 2, тут ничего никакого отношения в VPN не имеет.

Хорошо, но можно краткий коммент по каждой строчке? Наверняка автор какой-то смысл в них вкладывал, не зря же он пыхтел.

Хорошо, но можно краткий коммент по каждой строчке?

Можно. Но вот в этом разделе www.linux.org.ru/forum/job/ и с озвученной суммой.

Уж, скорее правило 1 может относится к VPN-серверу, если он слушает на tcp 443 порту. А правила 2-4 — это обычный шлюз в инет для локальной сети, не важно, физическая она или виртуальная...

Вас только правила iptables смутили ? А то что ниже идет firewall-cmd нет? Ну и про первое правило "-I INPUT" это тоже зачетно (я не к вам, а к копипасте ТС)

Ок.

1. iptables -I INPUT -p tcp –dport 443 -m state –state NEW -j ACCEPT

Разрешить установку входящей tcp/ip сессии на порт 443. Условие по-умолчанию POLICY ACCEPT. Полностью перечеркивает смысл данной команды. VPN опять же каким боком?

2. iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT –to-source IP_АДРЕС_ВАШЕГО СЕРВЕРА

Включить НАТ для исходящего трафика, пришедшего из диапазона 192.168.10.0/24

3. iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

Разрешить сквозной трафик из подсети 192.168.10.0/24. Политика по умолчанию ACCEPT перечеркивает смысл команды. VPN опять же каким боком?

4. iptables -A FORWARD -p all -m state –state ESTABLISHED,RELATED -j ACCEPT

Разрешить сквозной трафик всем для уже установленных соединений. Политика по умолчанию ACCEPT перечеркивает смысл команды. VPN опять же каким боком?

5. firewall-cmd –zone=public –permanent –add-port=443/tcp

Бабуйня-обертка над iptables для сохранения правила 1 в постоянном режиме. Какой отношение вообще к теме - непонятно.

6. firewall-cmd –zone=public –permanent –add-masquerade

Бабуйня обертка над iptables. Даже разбирать не буду, бессмысленная шляпа.

Ну нет же. 2- да, 3- нет. 4- нет. Ты правильнео зацепился, если бы политики были праильные. А так - бабуйня же.

1 добавляет в цепочку Input правило, разрешающее подключение на 443 порт. «-I» значит, что это правило будет добавлено в самое начало цепочки Input. В цепочку Input попадают пакеты, адресованные хосту (этому хосту).

2. Для пакетов с адресом источника из VPN сети подменяет адрес источника (отправителя пакета) на адрес внешнего интерфейса VPN сервера. Это правило будет применяться только для пакетов, с адресами назначения во внешнем мире, т.е. не в VPN сети и не адресованные самому VPN серверу.

3. Разрешает продвижение пакетов из VPN сети между сетевыми интерфейсами. В зависимости от политик по умолчанию или назначенных явно может быть запрет продвижения пакетов из одного адресного пространства (сети) в другое. В данном случае это правило разрешает продвижение пакетов из VPN сетевого интерфейса во внешний сетевой интерфейс (внешнюю сеть), т.е. в Internet. Если политика для цепочки Forward стоит ACCEPT, то это правило не нужно.

4. Разрешает продвижение пакетов по всем протоколам между всеми интерфейсами для уже установленных соединений.

5,6 - с firewall-cmd я не работал, но по сути они дублируют 1 и второе правило. Только 6 строчка по смыслу делает маскарадинг, вместо явного SNAT.

Та не, там лютый микс из копипаст бездумно взятых непонятно откуда. ТС и «бармина» похоже спокойно скопипастить может.

Я не помню ТС, так из лучших побуждений.

Вы исходите из того, что правила написаны под дистрибутив, где по умолчанию политика ACCEPT. Но были дистрибутивы, где по умолчанию DROP.

бабуйня же.

Примитивный скрипт, который на достаточно большом кол-ве дистрибвутивов (до распространения nft) выполнит задачу — разрешит сервер на 443 порту и SNAT исходящих пакетов. Криво-косо, но выполнит. Понятно, что в таком скрипте лучше все правила через ″iptables -I″, лучше проверять, есть firewall-cmd...

Бро, я исхожу из ОП, давай не додумывать. firewall-cmd не стоящая башелапша обсуждения в маргинальных эпплаенсах. А скрипт - говно.

Понятно, что в таком скрипте лучше все правила через ″iptables -I″, лучше проверять

Вы трезвый?

А, не, это не скрипт. Вот отсюда ТС взял https://aeb-blog.ru/linux/ustanovka-openconnect-servera-v-sentos-7/ и в комментариях написано, что либо iptables, либо firewalld.

А скрипт - говно.

Как 90% исходного кода, но как-то всё работает.

давай не додумывать

Тут исходная задача — додумывать какой смысл был вложен:

Наверняка автор какой-то смысл в них вкладывал, не зря же он пыхтел.

Конечно, трезвый и не адекватный, как обычно.

Ты еще и загуглил за него О_о Не Ъ.))))

Ты еще и загуглил за него О_о Не Ъ.))))

mky От це сила!

Чего не ответил в прошлом треде мученику?)

Эмм?

Помогите настроить GRE туннель (комментарий)

Лови, мне казалось твой выход, или выдохся?

Так там закончилось всё хорошо, поэтому и не стал ничего писать. Может и не хорошо, но ТС сказал, что ему хорошо. :)

no offence, тут нас немного осталось(

Та ладно... нас тут ещё мнооого, и даже прекрасный пол разбавляет наши скучные мужицкие терки :))

Ну хоть зови)

Подключайся сам знаешь куда, та одни ламеры, устал воспитывать)))

взял готовенькие настройки iptables, чтобы долго не мучаться

Читай iptables guide у тебя «детские» вопросы, сам себя закопаешь готовыми скриптами

Почему в начале проставлена -I, а не -A?

-A добавляет в конец списка правил, -I в указанную позицию (если позиция не указано то в начало)

что трафик может пропускаться на 443 порт при условии, что будет установлено соединение VPN (подойдут логин и пароль)?

нет, это просто пускает на 443 порт сервера ВСЕХ

Только -to-source это переводится как к источнику, а не от него?

нормально тут все. можно вообще -j MASQUERADE без указания адреса использовать, если у тебя один ip на выходном интерфейсе. Но тут стоит добавить -o <out_interface>

3 и 4. лишнии, так как первым пунктом трафик уже будет заходить и ничем не ограничиваться до выхода?

нет, тут цепочка FORWARD для проходящего трафика, а в 1 была INPUT для предназначеного процессм сервера (см. тут)

5 и 6. лишнии, так как повторяют 1 и 2 пункты?

Это вообще порнография мешать вместе iptables и firewalld (набор костылей над iptables/nftables), сноси firewalld и делай все через iptables

Спасибо всем что отозвались! Пришлось ещё читать про эти коварные таблицы, и вот теперь составил свои. Но так ли они будут работать как я их задумал? Подправьте пожалуйста, если что не очень получилось или пропущено! Собственно, мой «неподступный бастион»:

интерфейсы системы: lo - 127.0.0.1/8; eth0 - айпи сервера/27; tap_tap_virtual - 192.168.10.1/24

iptables -P PREROUTING ACCEPT

iptables -P INPUT DROP
1. iptables -A INPUT -i lo -j ACCEPT
2. iptables -A INPUT -i eth0 -s айпи сервера -m conntrack --ctstate NEW,INVALID,ESTABLISHED,RELATED,SNAT,DNAT -j ACCEPT
3. iptables -A INPUT -i tap_tap_virtual -s 192.168.10.0/24 -j ACCEPT
4. iptables -A INPUT -i eth0 -s айпи домашнего компа -m conntrack --ctstate NEW,INVALID,ESTABLISHED,RELATED,SNAT,DNAT -j ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P POSTROUTING ACCEPT
iptables -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

Вот что задумано в таблице INPUT:

1. Обеспечение работы виртуального сервера от физического.
2. Разрешаю входящие пакеты на физический интерфейс от самого виртуального сервера (удалённое использование браузера, установка обновлений системы и приложений).
3. Разрешаю входящие пакеты на виртуальный интерфейс от удалённых компьютеров локальной сети.
4. Разрешаю входящие пакеты на физический интерфейс только от моего домашнего компа (администрирование, любые протоколы и т. д.).

Помимо ещё остались вопросы:

5. VNC через браузерную панель управления VPS по каким сетевым правилам будет работать?
6. Протоколы и порты я не указывал, сойдёт такой подход?
7. Возможен ли брутфорс или другие ddos атаки на мой сервер с таким настойками?
8. Можно ли получить от моего сервера какую-нибудь информацию, например с помощью Active Probing?

PS. Я обратил внимание на отсутствие рекламы и возможности донатов на сайте, т. е. прямых стимулов консультаций. Возможно, просто это всё вам очень интересно, но намекните, если что-то ожидаете от пользователей.

Обеспечение работы виртуального сервера от физического.

нет, lo это loopback интерфейс системы он не имеет отношения к физическому серверу, но правило нужно т.к. иначе некоторые локальные службы могут не работать

Разрешаю входящие пакеты на физический интерфейс от самого виртуального сервера (удалённое использование браузера, установка обновлений системы и приложений).

не имеет смысла, процессы внутри системы через lo интерфейс работают а он у тебя разрешен правилом выше

Разрешаю входящие пакеты на виртуальный интерфейс от удалённых компьютеров локальной сети.

В целом да, но зависит от типа vpn если у тебя на основе ppp (pptp, l2tp)то имя интерфейса у каждого клиента будет свое и тогда используют -i ppp+, если что-то другое (ipsec ikev2, openwpn, wireguard, ...) то смотреть надо я на память не помню как там происходит

Разрешаю входящие пакеты на физический интерфейс только от моего домашнего компа (администрирование, любые протоколы и т. д.).

В целом да, но нет смысл все возможные состояния conntrack указывать

iptables -P PREROUTING ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P POSTROUTING ACCEPT

не имеет смысла (если у тебя не hardened ядро где все DROP по дефолту)

VNC через браузерную панель управления VPS по каким сетевым правилам будет работать?

Ни по каким, VNC на VPS это IP-KVM, просто трансляция монитора в VNC, смотри в настройках VPS может там можно настроить ограничение доступа к VNC

Протоколы и порты я не указывал, сойдёт такой подход?

Да. это опционально. Единствееное я у тебя не увидел разрешающих правил для подключения к vpn, но если задача только с домашнего компа коннектиться то сойдет

Возможен ли брутфорс или другие ddos атаки на мой сервер с таким настойками?

iptables -P FORWARD ACCEPT - не очень хорошо весь FORWARD разрешать, тобой могут пользоваться как шлюзом (но только те кто с твоим vps в одной l2 сети)

Можно ли получить от моего сервера какую-нибудь информацию, например с помощью Active Probing?

Возьми nmap и посмотри


Базовый fw для твоих хотелок, дальше уже по желанию можешь дорабатывать

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s <домашний_ip> -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -i <vpn_интерфейсы> -s <vpn_подсеть>  -m conntrack --ctstate NEW -j ACCEPT
iptables -P INPUT DROP

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i <vpn_интерфейсы> -o eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -s <vpn_подсеть> -o eth0 -j MASQUERADE

ip6tables -A -i lo -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP

он самоутвердился

Legioner

Спасибо, вроде бы всё понятно, работает, но что-то пошло не так: если прописать мой домашний ip, в iptables он преобразуется в сеть:

-A INPUT -s 81.13.109.166/32 -m conntrack --ctstate NEW -j ACCEPT

Причём это не исправляется путём правки самого текстового документа, как тут выкрутиться?

Ещё, если подключиться через мобильный интернет с помощью клиента VPN, соединение устанавливается! Но правило input -P DROP, кроме ip домашнего компа, не срабатывает :(

Вот рабочая таблица: 

*nat
:PREROUTING ACCEPT [19930:2043427]
:INPUT ACCEPT [71:4916]
:OUTPUT ACCEPT [7070:488737]
:POSTROUTING ACCEPT [7070:488737]
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

*filter
:INPUT DROP [10082:655698]
:FORWARD DROP [31:1240]
:OUTPUT ACCEPT [83474:52060993]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.10.0/24 -i tap_tap_virtual -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -s 81.13.109.166/32 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tap_tap_virtual -o eth0 -m conntrack --ctstate NEW -j ACCEPT

*mangle
:PREROUTING ACCEPT [205162:70653036]
:INPUT ACCEPT [80972:18457042]
:FORWARD ACCEPT [123318:52073900]
:OUTPUT ACCEPT [84963:52179591]
:POSTROUTING ACCEPT [208295:104256049]

Ты молодец, не боишься всем показать свой IP. Ты некоторый IP адрес, как адрес источника, в адресе IPv4 32 бита, есть общепринятые диапазоны (размерности сетей).

К примеру сеть с адресом 192.168.1.0/24, маска 24 указывает, что 8 битов относятся под бита узлов этой сети.

И допустим тебе нужно в правилах iptables заблокировать доступ с адреса 192.168.1.128, в этом случае правильно указать 192.168.1.128/32. В другой ситуации тебе нужно заблокировать доступ для диапазона IP адресов 192.168.1.129-192.168.1.191, в этом случае ты укажешь 192.1668.1.128/26, а в случае, если до 255 адреса, то /25.

Аналогично и в белых IP адресах, твой адрес мог бы быть 81.13.109.164 и он соответствует сети 81.13.109.164/30, поэтому полная запись с указанием маски всегда.

Ты молодец, не боишься всем показать свой IP.

(￣_,￣ )

И допустим тебе нужно в правилах iptables заблокировать доступ с адреса 192.168.1.128, в этом случае правильно указать 192.168.1.128/32. В другой ситуации тебе нужно заблокировать доступ для диапазона IP адресов 192.168.1.129-192.168.1.191, в этом случае ты укажешь 192.1668.1.128/26, а в случае, если до 255 адреса, то /25. Аналогично и в белых IP адресах, твой адрес мог бы быть 81.13.109.164 и он соответствует сети 81.13.109.164/30, поэтому полная запись с указанием маски всегда.

Если честно, совсем не понятно… возможно ответ с подвохом :) Мне же конкретный ай пи и маску выдал провайдер, а я просто должен посмотреть по таблице скольки битам соответствует моя маска и вбить в iptables? А тогда зачем нужно повышать или понижать битовый префикс, если одинаковых публичных ай пи адресов не бывает?

ACL еще добавь и все заработает

permit ip Host 239.0.1.1 Any

дроп никто по дефолту не делает. они же загуглить с ним не смогут как это убрать.

если одинаковых публичных ай пи адресов не бывает?

это кто тебе такое сказал? первый же одинаковый публичный ип находится намного ближе чем ты думаешь. им пользуются миллиарды каждый день ) но в силу того что разные ип адреса одинаковые заметить ты это никак не можешь.

К примеру сеть с адресом 192.168.1.0/24, маска 24 указывает, что 8 битов относятся под бита узлов этой сети.

Вот скажи мне, почему ты говоришь это так как будто думаешь нижней головой а не верхней. Как может 24 указывать на 8? 24 это ни разу не 8. /24 это буквально 24 бита выделеные под адрес сети. И вообще есть причина по которой говорят про биты сети а не хостов. Из-за бкаста под хосты выделено 7.5 бит )))))

Ты так и скажи, что не понимаешь, что такое ip адрес и что такое маска, что означает маска /32.

И думаешь только про себя. Это тебе провайдер выдал один ip адрес, а кому-то выдает целые сети, например /27 на 30 адресов. И при написании правил он укажет адрес сети 81.13.109.96/30.

Маска /32 вмещает «сеть» с одним ip адресом.

Как может 24 указывать на 8?

Молча.

24 это ни разу не 8. /24 это буквально 24 бита выделеные под адрес сети.

32-24=8. 24 бита для кодирования адреса сети, 8 битов для кодирования диапазона хостов.

Автор топика не понимает, что такое маска, что такое IP адрес, какая между ними связь и зачем нужна маска. Что будет результатом операции логического и между IP адресом и маской.

32-24=8. 24 бита для кодирования адреса сети, 8 битов для кодирования диапазона хостов.

88-24=64 мбита скорости соединения.

это все фантазии. а написано про 24бита адреса сети. количество бит никак не объясняет зачем нужна маска. более того ни в одном поле ип пакета не указано сколько там бит в маске. выходит оно прекрасно работает вообще не зная ни о какой маске.

Ты просто упёрся рогом и не пытаешься понять что написано, а доказываешь, что так, как написано тебе не понятно и не имеет смысла. Это не мои проблемы.

более того ни в одном поле ип пакета не указано сколько там бит в маске.

Маска применяется на маршрутизаторах при просмотре таблицы маршрутизации, собственно в ней она и фигурирует, а так же используется в правилах пакетных фильтров (файрволлов) для указания диапазона IP адресов (адресов сетей).

если прописать мой домашний ip, в iptables он преобразуется в сеть:

/32 это сеть из одного адреса, да iptables так делает и в этом нет ничего страшного

Но правило input -P DROP, кроме ip домашнего компа, не срабатывает :(

Ну тут илли рпзрешать подключаться к vpn вообще всем (сомневаюсь что у тебя на мобильном статичный ip) или port-knocking делать и перед подключением с мобильника «простукивать» сервер чтобы он ip в разрешенные добавлял на определенное время

Как раз на всяких VPS'ках по дефолту делали ″-P DROP″.

они же загуглить с ним не смогут

Ну дак не устанавливай пакет iptables и гугли спокойно.

iptables надо изучать капитально. Включая базовые знания сети и отладки проблем. Без этого лучше фаервол вообще не трогать. Большой необходимости в нем нет.

У некоторых хостеров бывает внешний фаервол. Если такое есть, лучше его использовать.

PS сейчас надо использовать nftables. Или обертку типа ufw.

Как может 24 указывать на 8?

24+8=32 не?

/24 это буквально 24 бита выделеные под адрес сети.

Это префикс сети.

Из-за бкаста под хосты выделено 7.5 бит
7.5 бит

Это простите сколько? Нарисуйте плиз. 0.5 литра в меня укладывается, но вот 0.5 бита не очень заходит.

permit ip Host 239.0.1.1 Any

Разве это правило совместимо с iptables? Что оно мне даст? Поподробнее пожалуйста.

это кто тебе такое сказал? первый же одинаковый публичный ип находится намного ближе чем ты думаешь. им пользуются миллиарды каждый день ) но в силу того что разные ип адреса одинаковые заметить ты это никак не можешь.

Никто, просто загуглил… и я согласился с вот этим занимательным рассказом: Как функционирует публичный IP-адрес? Публичные IP-адреса маршрутизируются, и каждый из них уникален. Двух одинаковых публичных IP-адресов не существует. Свой публичный IP-адрес вы получаете от интернет-провайдера. Основное отличие заключается в том, что публичный IP-адрес может связывать вас со всем виртуальным миром, а частный IP-адрес — только с маршрутизатором или сервером, за которым он закреплен и который, в свою очередь, имеет свой публичный IP-адрес для связи с Интернетом. https://surfshark.com/ru/what-is-my-ip

Ты так и скажи, что не понимаешь, что такое ip адрес и что такое маска, что означает маска /32. И думаешь только про себя. Это тебе провайдер выдал один ip адрес, а кому-то выдает целые сети, например /27 на 30 адресов. И при написании правил он укажет адрес сети 81.13.109.96/30. Маска /32 вмещает «сеть» с одним ip адресом.

Я в общем-то и написал: «Если честно, совсем не понятно…» Т. е. это намёк на то что мой ip адрес не «железный» и может располагаться в любой сетевой маске, а не только в той которую выдал провайдер, соответственно iptables не сумеет этого понять? Видимо… все участники хотят чтобы я диплом защитил в этом топике 🤓