URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97338
[ Назад ]

Исходное сообщение
"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ll75 , 12-Дек-18 13:39

Пытаюсь сделать так:
# iptables -A INPUT -i tun+ -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --dport 80 -j REJECT
и так
# iptables -A INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --dport 80 -j REJECT
Но все равно порт 80 доступен снаружи((

Содержание

Ограничить доступ к 80 порту, только при vpn подключении,ыфективный манагер, 15:35 , 12-Дек-18
- Ограничить доступ к 80 порту, только при vpn подключении,ll75, 16:57 , 12-Дек-18
  - Ограничить доступ к 80 порту, только при vpn подключении,ыфективный манагер, 18:21 , 12-Дек-18
    - Ограничить доступ к 80 порту, только при vpn подключении,ll75, 18:46 , 12-Дек-18
      - Ограничить доступ к 80 порту, только при vpn подключении,ыфективный манагер, 15:31 , 13-Дек-18
        
        Ограничить доступ к 80 порту, только при vpn подключении,ll75, 16:02 , 13-Дек-18
        
        Ограничить доступ к 80 порту, только при vpn подключении,ыфективный манагер, 17:18 , 13-Дек-18
        
        Ограничить доступ к 80 порту, только при vpn подключении,ll75, 13:10 , 14-Дек-18

Сообщения в этом обсуждении

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ыфективный манагер , 12-Дек-18 15:35

всю цепочку покажи, да?
порядок в котором добавляются правила _имеет_ значение ....

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ll75 , 12-Дек-18 16:57

> всю цепочку покажи, да?
> порядок в котором добавляются правила _имеет_ значение ....
# iptables -L -n --line-numbers | less
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
3    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
3    DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
5    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0
6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
9    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
13   DOCKER     all  --  0.0.0.0/0            0.0.0.0/0
14   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
15   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
16   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
17   DOCKER     all  --  0.0.0.0/0            0.0.0.0/0
18   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
19   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
Chain DOCKER (4 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            172.20.0.4           tcp dpt:8080
Chain DOCKER-ISOLATION (1 references)
num  target     prot opt source               destination
1    DROP       all  --  0.0.0.0/0            0.0.0.0/0
2    DROP       all  --  0.0.0.0/0            0.0.0.0/0
3    DROP       all  --  0.0.0.0/0            0.0.0.0/0
4    DROP       all  --  0.0.0.0/0            0.0.0.0/0
5    DROP       all  --  0.0.0.0/0            0.0.0.0/0
6    DROP       all  --  0.0.0.0/0            0.0.0.0/0
7    DROP       all  --  0.0.0.0/0            0.0.0.0/0
8    DROP       all  --  0.0.0.0/0            0.0.0.0/0
9    DROP       all  --  0.0.0.0/0            0.0.0.0/0
10   DROP       all  --  0.0.0.0/0            0.0.0.0/0
11   DROP       all  --  0.0.0.0/0            0.0.0.0/0
12   DROP       all  --  0.0.0.0/0            0.0.0.0/0
13   RETURN     all  --  0.0.0.0/0            0.0.0.0/0

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ыфективный манагер , 12-Дек-18 18:21

>[оверквотинг удален]
>> порядок в котором добавляются правила _имеет_ значение ....
> # iptables -L -n --line-numbers | less
> Chain INPUT (policy ACCEPT)
> num  target     prot opt source
>
>  destination
> 1    ACCEPT     all  --
>  0.0.0.0/0
>   0.0.0.0/0
>    /* pritunl-5c10df1c2cc5cb00233a5e5a */
первое же правило делает ACCEPT дальше пакеты не пойдут ...
делай insert а не add

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ll75 , 12-Дек-18 18:46

> первое же правило делает ACCEPT дальше пакеты не пойдут ...
> делай insert а не add
попробовал так:
# iptables -I INPUT 1 -p tcp --dport 80 -j DROP
# ip6tables -I INPUT 1 -p tcp --dport 80 -j DROP
но не помогло, правила применились, а порт 80 снаружи доступен...
Сейчас:
# ip6tables -L -n --line-numbers | less
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp      ::/0                 ::/0                 tcp dpt:80
2    ACCEPT     all      ::/0                 ::/0                 /* pritunl-5c1124fa2cc5cb00230c8e7a */
3    ACCEPT     all      ::/0                 ::/0                 /* pritunl-5c10df1c2cc5cb00233a5e5a */
и
# iptables -L -n --line-numbers | less
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c1124fa2cc5cb00230c8e7a */

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ыфективный манагер , 13-Дек-18 15:31

я вижу там типа докеры ...
для того что бы получить нормальный ответ для начала следует научится задавать вопросы
откуда файер? с хоста?
где 80й порт слушает на хосте или в докере?

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ll75 , 13-Дек-18 16:02

> для того что бы получить нормальный ответ для начала следует научится задавать
> вопросы
> откуда файер? с хоста?
> где 80й порт слушает на хосте или в докере?
файер с хоста. 80й порт на докере
# netstat -ntlp | grep 80
tcp6 0 0 :::80 :::* LISTEN 23979/docker-proxy

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ыфективный манагер , 13-Дек-18 17:18

>> для того что бы получить нормальный ответ для начала следует научится задавать
>> вопросы
>> откуда файер? с хоста?
>> где 80й порт слушает на хосте или в докере?
> файер с хоста. 80й порт на докере
ну тады не input/output а forward юзать надо ...
короче марш читать документацию iptables

"Ограничить доступ к 80 порту, только при vpn подключении"
Отправлено ll75 , 14-Дек-18 13:10

> ну тады не input/output а forward юзать надо ...
> короче марш читать документацию iptables
попробовал добавлять правила с ip6tables FORWARD, тоже не работает, наверное надо изменять docker-compose.yml