- Ограничить доступ к 80 порту, только при vpn подключении, ыфективный манагер, 15:35 , 12-Дек-18 (1)
всю цепочку покажи, да? порядок в котором добавляются правила _имеет_ значение ....
- Ограничить доступ к 80 порту, только при vpn подключении, ll75, 16:57 , 12-Дек-18 (2)
> всю цепочку покажи, да? > порядок в котором добавляются правила _имеет_ значение ....# iptables -L -n --line-numbers | less Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* pritunl-5c10df1c2cc5cb00233a5e5a */ 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 3 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* pritunl-5c10df1c2cc5cb00233a5e5a */ 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* pritunl-5c10df1c2cc5cb00233a5e5a */ 3 DOCKER-ISOLATION all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 5 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 9 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 10 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 11 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 12 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 13 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 14 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 15 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 16 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 17 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 18 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 19 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* pritunl-5c10df1c2cc5cb00233a5e5a */ Chain DOCKER (4 references) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 172.20.0.4 tcp dpt:8080 Chain DOCKER-ISOLATION (1 references) num target prot opt source destination 1 DROP all -- 0.0.0.0/0 0.0.0.0/0 2 DROP all -- 0.0.0.0/0 0.0.0.0/0 3 DROP all -- 0.0.0.0/0 0.0.0.0/0 4 DROP all -- 0.0.0.0/0 0.0.0.0/0 5 DROP all -- 0.0.0.0/0 0.0.0.0/0 6 DROP all -- 0.0.0.0/0 0.0.0.0/0 7 DROP all -- 0.0.0.0/0 0.0.0.0/0 8 DROP all -- 0.0.0.0/0 0.0.0.0/0 9 DROP all -- 0.0.0.0/0 0.0.0.0/0 10 DROP all -- 0.0.0.0/0 0.0.0.0/0 11 DROP all -- 0.0.0.0/0 0.0.0.0/0 12 DROP all -- 0.0.0.0/0 0.0.0.0/0 13 RETURN all -- 0.0.0.0/0 0.0.0.0/0
- Ограничить доступ к 80 порту, только при vpn подключении, ыфективный манагер, 18:21 , 12-Дек-18 (3)
>[оверквотинг удален] >> порядок в котором добавляются правила _имеет_ значение .... > # iptables -L -n --line-numbers | less > Chain INPUT (policy ACCEPT) > num target prot opt source > > destination > 1 ACCEPT all -- > 0.0.0.0/0 > 0.0.0.0/0 > /* pritunl-5c10df1c2cc5cb00233a5e5a */ первое же правило делает ACCEPT дальше пакеты не пойдут ... делай insert а не add
- Ограничить доступ к 80 порту, только при vpn подключении, ll75, 18:46 , 12-Дек-18 (4)
> первое же правило делает ACCEPT дальше пакеты не пойдут ... > делай insert а не add попробовал так: # iptables -I INPUT 1 -p tcp --dport 80 -j DROP # ip6tables -I INPUT 1 -p tcp --dport 80 -j DROP но не помогло, правила применились, а порт 80 снаружи доступен... Сейчас: # ip6tables -L -n --line-numbers | less Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp ::/0 ::/0 tcp dpt:80 2 ACCEPT all ::/0 ::/0 /* pritunl-5c1124fa2cc5cb00230c8e7a */ 3 ACCEPT all ::/0 ::/0 /* pritunl-5c10df1c2cc5cb00233a5e5a */ и # iptables -L -n --line-numbers | less Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* pritunl-5c1124fa2cc5cb00230c8e7a */
- Ограничить доступ к 80 порту, только при vpn подключении, ыфективный манагер, 15:31 , 13-Дек-18 (5)
я вижу там типа докеры ...для того что бы получить нормальный ответ для начала следует научится задавать вопросы откуда файер? с хоста? где 80й порт слушает на хосте или в докере?
- Ограничить доступ к 80 порту, только при vpn подключении, ll75, 16:02 , 13-Дек-18 (6)
> для того что бы получить нормальный ответ для начала следует научится задавать > вопросы > откуда файер? с хоста? > где 80й порт слушает на хосте или в докере?файер с хоста. 80й порт на докере # netstat -ntlp | grep 80 tcp6 0 0 :::80 :::* LISTEN 23979/docker-proxy
- Ограничить доступ к 80 порту, только при vpn подключении, ыфективный манагер, 17:18 , 13-Дек-18 (7)
>> для того что бы получить нормальный ответ для начала следует научится задавать >> вопросы >> откуда файер? с хоста? >> где 80й порт слушает на хосте или в докере? > файер с хоста. 80й порт на докере ну тады не input/output а forward юзать надо ... короче марш читать документацию iptables
- Ограничить доступ к 80 порту, только при vpn подключении, ll75, 13:10 , 14-Дек-18 (8)
> ну тады не input/output а forward юзать надо ... > короче марш читать документацию iptables попробовал добавлять правила с ip6tables FORWARD, тоже не работает, наверное надо изменять docker-compose.yml
|