Z
Разница в управляемости всем этим делом. Зачем тебе все эти ручные команды, когда в принципе ты на более высокоуровневом языке можешь общаться с фаерволом
что если вообще без файрвола будет ? чем чревато???
Size: a a a
2021 February 09
w❤
можно и без него, если у тебя ничего лишнего не торчит в интернет
w❤
но это плохой совет
w❤
как их почистить ? сейчас попробую
ребутнись :) будет проще
w❤
ну или
w❤
# Accept all traffic first to avoid ssh lockdown via iptables firewall rules #
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Flush All Iptables Chains/Firewall rules #
iptables -F
# Delete all Iptables Chains #
iptables -X
# Flush all counters too #
iptables -Z
# Flush and delete all nat and mangle #
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables iptables -t raw -F
iptables -t raw -X
w❤
iptables ты как службу или просто скриптом запускал? уверен что твои старые правила не поднимутся после ребута?
Z
iptables ты как службу или просто скриптом запускал? уверен что твои старые правила не поднимутся после ребута?
как службу , потом в скрипт прописал правила iptables запустил скрипт алеоп готово
Z
то есть правила таблиц правит скрипт я его в любой момент редактирую запускаю м работают новые таблицы
Z
masqarade что дает непомню
короче надо чтоб впн сервер раздавал интернет подключенному гаджету по идее это одна или две строчки чего то ACCEPT input или output
короче надо чтоб впн сервер раздавал интернет подключенному гаджету по идее это одна или две строчки чего то ACCEPT input или output
w❤
ну если ты точно уверен, что хочешь сделать это через iptables, то тебе нужна команда
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADEw❤
опять же вместо tun0 интерфейс опенвпна
w❤
ну и конечно же /proc/sys/net/ipv4/ip_forward должен быть 1
w❤
сделать это можно либо
echo 1 > /proc/sys/net/ipv4/ip_forward либо sysctl net.ipv4.ip_forward=1w❤
чтоб руками после каждого ребута не писать, последнюю строчку можно записать в файлик /etc/sysctl.conf
w❤
в твоём скрипте для FORWARD ставится политика DROP - с этим тоже нужно что-то сделать.
например сделать ее ACCEPT чтобы ходили все в интернет, либо делать определенные ACCEPT для нужных клиентов
например сделать ее ACCEPT чтобы ходили все в интернет, либо делать определенные ACCEPT для нужных клиентов
w❤
iptables -P FORWARD ACCEPT чтоб ходили всеiptables -A FORWARD -s 192.168.1.2 -j ACCEPT чтоб ходили только те, кому "можно", где вместо 192.168.1.2 адрес твоего клиентаw❤
если будет такая хрень, что клиенты могут пинговать интернет, но не могут, например, открыть сайты (или открываются только некоторые), то тебе нужно прочитать это https://www.opennet.ru/docs/RUS/LARTC/x2657.html
w❤
и это, пожалуй, всё что тебе нужно
w❤
но в целом советую отказаться от iptables, потому что это сложно и непонятно. куда проще делаются вещи с firewalld