https://slinkov.ru/openforum/vsluhforumID1/90017.html Добавил такую цепочку правил в iptbales<br>iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT<br>iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT<br>iptables -A INPUT -s 192.168.137.2 -j ACCEPT<br>iptables -A INPUT -s 192.168.20.4 -j ACCEPT<br>iptables -A INPUT -s 192.168.20.5 -j ACCEPT<br>iptables -A INPUT -s 192.168.20.6 -j ACCEPT<br>iptables -A INPUT -i lo -j https://slinkov.ru/openforum/vsluhforumID1/90017.html#14 Sat, 23 Oct 2010 08:14:34 GMT <br>&gt; iptables -A INPUT -s 192.168.137.2 -j ACCEPT<br>&gt; я думаю еще указать интерфейс а то как то тоже по общему?<br><br>Я думаю лучше точнее, но предполагаю, что чем больше критериев в правиле фильтрации, тем больше ресурсов задействуется.<br> https://slinkov.ru/openforum/vsluhforumID1/90017.html#13 Wed, 13 Oct 2010 17:17:31 GMT &gt;Зависит от того, какие функции выполняет данный роутер.<br><br>Почтовый релей + VPN + проброс во внтуреннюю сеть портов<br><br>&gt;Ну тут есть 4 выхода:<br><br>3 устраивает но не могу активировать правило.<br> https://slinkov.ru/openforum/vsluhforumID1/90017.html#12 Wed, 13 Oct 2010 14:53:34 GMT &gt;[оверквотинг удален]<br>&gt; DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j<br>&gt; DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j<br>&gt; DNAT --to-destination 192.168.20.5<br>&gt; iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited<br>&gt; У меня еще вопрос есть по улучшению<br>&gt; вот тут<br>&gt; iptables -A INPUT -s 192.168.137.2 -j ACCEPT<br>&gt; я думаю еще указать интерфейс а то как то тоже по общему?<br><br>Если хотите немного комильфо, то тогда делайте более разветлённые правила, используйте multiports. Лично у меня бы данные правила выглядяли бы совсем иначе, т.к. тут постоянно повторяются одни и те же проверки :)<br><br>&gt; Тоесть вот так<br>&gt; iptables -A INPUT -i tap0 -s 192.168.137.2 -j ACCEPT<br>&gt; А вот ту у меня разрешения пропускать входящий icmp трафик.<br>&gt; iptables -A INPUT -p icmp -m icmp -j ACCEPT<br>&gt; Как его можно улучшить какой трафик icmp надо запретить а какой пропустить?<br><br>Зависит от того, какие функции выполняет данный роут https://slinkov.ru/openforum/vsluhforumID1/90017.html#11 Wed, 13 Oct 2010 11:27:13 GMT &gt;&gt; man iptabes /ESTABLISHED<br>&gt; Ну я понимаю что это уже установленные с конкретно допустим моего ип<br>&gt; сесия ssh.<br>&gt; Или я что то из вида упускаю?<br><br>Да: "сессия" состоит из ip пакетов, правила [в -t filter] применяются к _каждому пакету ==&gt; первый пакет "смотрится" правилом с NEW, все следующие - правилом с ETABLISHED.<br><br>Угадай что, когда ты "убираю вот эту вот ненужную строчку", да?<br> https://slinkov.ru/openforum/vsluhforumID1/90017.html#10 Wed, 13 Oct 2010 09:35:02 GMT Спасибо всем так и сделал получилось так.<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT<br>iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT<br>iptables -A INPUT -s 192.168.137.2 -j ACCEPT<br>iptables -A INPUT -p icmp -m icmp -j ACCEPT<br>iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited<br>iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT <br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 80 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 21 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 2020 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.5 --dport 110 -j ACCEPT<br>iptables -t nat -A PREROUTING -p tcp -m tcp --dport https://slinkov.ru/openforum/vsluhforumID1/90017.html#9 Wed, 13 Oct 2010 09:19:33 GMT &gt; В цепочке форвард лучше уточнить -d 192.168.20.4, -d 192.168.20.5 а то как<br>&gt; то слишком общие правила.<br><br>То есть лучше так?<br><br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 80 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 22 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 21 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 2020 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.5 --dport 110 -j ACCEPT<br><br> https://slinkov.ru/openforum/vsluhforumID1/90017.html#8 Wed, 13 Oct 2010 09:18:46 GMT &gt;&gt; Где я ошибся?<br>&gt; в действии "И вот когда убираю..."<br>&gt; верните на место.<br><br>Когда все отвалилось так и сделал )))<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/90017.html#7 Wed, 13 Oct 2010 09:18:28 GMT &gt;&gt; 20.5<br>&gt;&gt; 20.4<br>&gt;&gt; 20.6<br>&gt;&gt; Это нат пакетов с внешнего на внтурнеений.<br>&gt; P.S.: Что-то я не вижу в ваших правилах адрес 192.168.20.6. :)<br><br>Затупил нет там 20.6 )))) сори )<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/90017.html#6 Wed, 13 Oct 2010 09:17:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt; iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>&gt;&gt; Все что установленны он обрывает.<br>&gt;&gt; И все и на 22 порт не подключишься и форвард не пашет<br>&gt;&gt; запрешен и даже VPN отрубает..<br>&gt;&gt; Где я ошибся?<br>&gt; А почему вы считаете, что он должен вам разрешать 22-ой порт, когда<br>&gt; вы убираете упомянутые правила? Он и не должен вас пускать. Вы<br>&gt; разрешаете только NEW по 22-ому порту, а уже, например, ESTABLISHED не<br>&gt; пропускаете.<br>&gt; man iptabes /ESTABLISHED<br><br>Ну я понимаю что это уже установленные с конкретно допустим моего ип сесия ssh.<br>вот я убераю правила. жду пока сесия скинеться и пытаюсь как NEW но сервер не пускает..<br>Или я что то из вида упускаю?<br><br>