[SOLVED] Закрыть порт на интерфейсе, iptables

exelents	# 8 лет, 2 месяца назад
Темы: 16 Сообщения: 60 Участник с: 08 декабря 2012	Есть интерфейс с локальной сетью, называется enp4s0f2. Я хочу чтоб на него не было входящих подключений к веб-серверу. Вот конфиг iptables-a: `*filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i enp4s0f2 -p tcp -m tcp --dport 80 -j DROP COMMIT` Как только я убираю "-i enp4s0f2" порт блокируется, nmap показывает что он filtered, но это происходит тогда на всех интерфейсах сразу, а мне надо, чтоб на интерфейсе loopback порт оставался открытым. Такое вообще возможно?

# 8 лет, 2 месяца назад

Сообщения: 60

Участник с: 08 декабря 2012

Есть интерфейс с локальной сетью, называется enp4s0f2.
Я хочу чтоб на него не было входящих подключений к веб-серверу.
Вот конфиг iptables-a:


*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i enp4s0f2 -p tcp -m tcp --dport 80 -j DROP
COMMIT

Как только я убираю "-i enp4s0f2" порт блокируется, nmap показывает что он filtered, но это происходит тогда на всех интерфейсах сразу, а мне надо, чтоб на интерфейсе loopback порт оставался открытым. Такое вообще возможно?

Natrio	# 8 лет, 2 месяца назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Вроде это должно работать, так что подозреваю, что вы опечатались в имени интерфейса на какую-нибудь буковку, сравните внимательнее их в iptables и в ip addr Однако, если бы я делал фаерволл, я бы сначала открыл всё для петли, `-A INPUT -i lo -j ACCEPT` потом разрешил, всё что должно быть видно снаружи, а в конце запретил бы всё остальное: `-A INPUT -j REJECT` В этом случае указание конкретных интерфейсов понадобится только в случае, если у вас их несколько, и надо разрешать для них избирательно.

Natrio

# 8 лет, 2 месяца назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Вроде это должно работать, так что подозреваю, что вы опечатались в имени интерфейса на какую-нибудь буковку, сравните внимательнее их в iptables и в ip addr

Однако, если бы я делал фаерволл, я бы сначала открыл всё для петли,

-A INPUT -i lo -j ACCEPT

потом разрешил, всё что должно быть видно снаружи, а в конце запретил бы всё остальное:

-A INPUT -j REJECT

В этом случае указание конкретных интерфейсов понадобится только в случае, если у вас их несколько, и надо разрешать для них избирательно.

exelents	# 8 лет, 2 месяца назад
Темы: 16 Сообщения: 60 Участник с: 08 декабря 2012	~~Ой дурак!~~ В общем, сканировать свою внешку со своего же компа было плохой идеей. Просканировал внешку с другого компа - порты блокируются как надо, извините что нафлудил.

binaryshadow	# 8 лет, 2 месяца назад
Темы: 16 Сообщения: 453 Участник с: 30 августа 2011	SOLVED или РЕШЕНО!