The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Ограничить доступ к 80 порту, только при vpn подключении"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ll75 (ok), 12-Дек-18, 13:39 
Пытаюсь сделать так:
# iptables -A INPUT -i tun+ -p tcp --dport 80 -j ACCEPT

# iptables -A INPUT -p tcp --dport 80 -j REJECT

и так
# iptables -A INPUT -i tun0 -p tcp --dport 80 -j ACCEPT

# iptables -A INPUT -p tcp --dport 80 -j REJECT

Но все равно порт 80 доступен снаружи((

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ыфективный манагер (?), 12-Дек-18, 15:35 
всю цепочку покажи, да?
порядок в котором добавляются правила _имеет_ значение ....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ll75 (ok), 12-Дек-18, 16:57 
> всю цепочку покажи, да?
> порядок в котором добавляются правила _имеет_ значение ....

# iptables -L -n --line-numbers | less
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
3    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */
3    DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
5    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0          
6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
9    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0          
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
13   DOCKER     all  --  0.0.0.0/0            0.0.0.0/0          
14   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
15   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
16   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
17   DOCKER     all  --  0.0.0.0/0            0.0.0.0/0          
18   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
19   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c10df1c2cc5cb00233a5e5a */

Chain DOCKER (4 references)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  0.0.0.0/0            172.20.0.4           tcp dpt:8080

Chain DOCKER-ISOLATION (1 references)
num  target     prot opt source               destination        
1    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
2    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
3    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
4    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
5    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
6    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
7    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
8    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
9    DROP       all  --  0.0.0.0/0            0.0.0.0/0          
10   DROP       all  --  0.0.0.0/0            0.0.0.0/0          
11   DROP       all  --  0.0.0.0/0            0.0.0.0/0          
12   DROP       all  --  0.0.0.0/0            0.0.0.0/0          
13   RETURN     all  --  0.0.0.0/0            0.0.0.0/0  


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ыфективный манагер (?), 12-Дек-18, 18:21 
>[оверквотинг удален]
>> порядок в котором добавляются правила _имеет_ значение ....
> # iptables -L -n --line-numbers | less
> Chain INPUT (policy ACCEPT)
> num  target     prot opt source  
>            
>  destination
> 1    ACCEPT     all  --
>  0.0.0.0/0          
>   0.0.0.0/0        
>    /* pritunl-5c10df1c2cc5cb00233a5e5a */

первое же правило делает ACCEPT дальше пакеты не пойдут ...
делай insert а не add


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ll75 (ok), 12-Дек-18, 18:46 
> первое же правило делает ACCEPT дальше пакеты не пойдут ...
> делай insert а не add

попробовал так:
# iptables -I INPUT 1 -p tcp --dport 80 -j DROP

# ip6tables -I INPUT 1 -p tcp --dport 80 -j DROP

но не помогло, правила применились, а порт 80 снаружи доступен...

Сейчас:
# ip6tables -L -n --line-numbers | less
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    DROP       tcp      ::/0                 ::/0                 tcp dpt:80
2    ACCEPT     all      ::/0                 ::/0                 /* pritunl-5c1124fa2cc5cb00230c8e7a */
3    ACCEPT     all      ::/0                 ::/0                 /* pritunl-5c10df1c2cc5cb00233a5e5a */

и
# iptables -L -n --line-numbers | less
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* pritunl-5c1124fa2cc5cb00230c8e7a */


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ыфективный манагер (?), 13-Дек-18, 15:31 
я вижу там типа докеры  ...

для того что бы получить нормальный ответ для начала следует научится задавать вопросы

откуда файер? с хоста?
где 80й порт слушает на хосте или в докере?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ll75 (ok), 13-Дек-18, 16:02 
> для того что бы получить нормальный ответ для начала следует научится задавать
> вопросы
> откуда файер? с хоста?
> где 80й порт слушает на хосте или в докере?

файер с хоста. 80й порт на докере

# netstat -ntlp | grep 80
tcp6       0      0 :::80                   :::*                    LISTEN      23979/docker-proxy

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ыфективный манагер (?), 13-Дек-18, 17:18 
>> для того что бы получить нормальный ответ для начала следует научится задавать
>> вопросы
>> откуда файер? с хоста?
>> где 80й порт слушает на хосте или в докере?
> файер с хоста. 80й порт на докере

ну тады не input/output а forward юзать надо ...
короче марш читать документацию iptables

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Ограничить доступ к 80 порту, только при vpn подключении"  +/
Сообщение от ll75 (ok), 14-Дек-18, 13:10 
> ну тады не input/output а forward юзать надо ...
> короче марш читать документацию iptables

попробовал добавлять правила с ip6tables FORWARD, тоже не работает, наверное надо изменять docker-compose.yml

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor