D
я iptables вообще не шевелил
Size: a a a
2021 February 09
D
изучите конфиги клиента и сервера на примерах
D
там все достаточно просто было.
.P
вот мой iptables скрипт чего не хватает то ему
читаемости
.P
вообще выглядит, как инструкция из самого начала 200x
когда под новый год было принято уставать и уходить
когда в 2.4 ipchain поменяли на iptables и казалось, что у тебя безграничное могущество по конфигурации файрвола
когда под новый год было принято уставать и уходить
когда в 2.4 ipchain поменяли на iptables и казалось, что у тебя безграничное могущество по конфигурации файрвола
.P
Попробуйте в своём скрипте прямо над строчкой "Установим политики по умолчанию для трафика" поставить слово exit, и посмотрите, будет ли какая-нибудь разница с доступом в интернет
w❤
export IPT="iptables"
# Интерфейс который смотрит в интернет
export WAN=eth0
export WAN_IP=адрес сервера
# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Установим политики по умолчанию для трафика, не с$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
Пропускать все уже инициированные соединения, а т$IPT -A INPUT -p all -m state --state ESTABLISHED,R# Пропускать новые, а так же уже инициированные и и$IPT -A OUTPUT -p all -m state --state ESTABLISHED,# Разрешить форвардинг для уже инициированных и их
$IPT -A FORWARD -p all -m state --state ESTABLISHED
# Включаем фрагментацию пакетов. Необходимо из за р$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j T
# Отбрасывать все пакеты, которые не могут быть иде# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
# Приводит к связыванию системных ресурсов, так что# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW
# Рзрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACC$IPT -A INPUT -p icmp --icmp-type destination-unrea$IPT -A INPUT -p icmp --icmp-type time-exceeded -j
$IPT -A INPUT -p icmp --icmp-type echo-request -j A
# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для http
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
# Открываем порт для https
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 12185 -j ACCEPT
# $IPT -A OUTPUT -p $WAN -p tcp --dport 443 -j ACCE # $IPT -A OUTPUT -p $WAN -p tcp --dport 80 -j A
$IPT -A INPUT -p tcp -m state --state NEW -m tcp --$IPT -A INPUT -p tcp -m state --state NEW -m tcp --$IPT -A INPUT -i $WAN -p udp --dport 12185 -j ACCEpt
# Интерфейс который смотрит в интернет
export WAN=eth0
export WAN_IP=адрес сервера
# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Установим политики по умолчанию для трафика, не с$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
Пропускать все уже инициированные соединения, а т$IPT -A INPUT -p all -m state --state ESTABLISHED,R# Пропускать новые, а так же уже инициированные и и$IPT -A OUTPUT -p all -m state --state ESTABLISHED,# Разрешить форвардинг для уже инициированных и их
$IPT -A FORWARD -p all -m state --state ESTABLISHED
# Включаем фрагментацию пакетов. Необходимо из за р$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j T
# Отбрасывать все пакеты, которые не могут быть иде# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
# Приводит к связыванию системных ресурсов, так что# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW
# Рзрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACC$IPT -A INPUT -p icmp --icmp-type destination-unrea$IPT -A INPUT -p icmp --icmp-type time-exceeded -j
$IPT -A INPUT -p icmp --icmp-type echo-request -j A
# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для http
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
# Открываем порт для https
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 12185 -j ACCEPT
# $IPT -A OUTPUT -p $WAN -p tcp --dport 443 -j ACCE # $IPT -A OUTPUT -p $WAN -p tcp --dport 80 -j A
$IPT -A INPUT -p tcp -m state --state NEW -m tcp --$IPT -A INPUT -p tcp -m state --state NEW -m tcp --$IPT -A INPUT -i $WAN -p udp --dport 12185 -j ACCEpt
Мрак. Есть же фаерволд. Там такое делается в две команды
Z
Мрак. Есть же фаерволд. Там такое делается в две команды
так я по мануалу делал , там написано выруби фаерволд и включи иптэйблес. тогда подскажите или мануал что сдлеать в файрволд
Z
и скажите что сейчас происходит с выключенным всем ? чем чревато что работает без файрвола
w❤
Добавить интерфейс опенвпна в зону external. Этого будет достаточно для начала
Z
Добавить интерфейс опенвпна в зону external. Этого будет достаточно для начала
можно строчку кода как сделать
w❤
firewall-cmd --zone=external --add-interface=tun0
w❤
Вместо тун0 свой интерфейс опенвпна. Ну и вытереть следы от айпитейблза
Z
firewall-cmd --zone=external --add-interface=tun0
это куда в иптеблес?
w❤
В терминал
w❤
Чистишь правила иптаблес, стартуешь службу firewalld, пишешь команду. Проверяешь интернет
w❤
И вообще, у тебя неправильный ман. Я не вижу там маскарадинга
Z
И вообще, у тебя неправильный ман. Я не вижу там маскарадинга
да что то слышал про эту команду но не помню , нужен просто правильный мануал и можно с иптеблес работать . я так понимаю разницы никакой нет
w❤
Разница в управляемости всем этим делом. Зачем тебе все эти ручные команды, когда в принципе ты на более высокоуровневом языке можешь общаться с фаерволом
Z
Чистишь правила иптаблес, стартуешь службу firewalld, пишешь команду. Проверяешь интернет
как их почистить ? сейчас попробую