Я настраиваю брандмауэр своего Linux-сервера с помощью iptables.
для теста мне не удалось защитить локальный веб-сервер (порт 8080) от доступа в Интернет.
- Операционные системы
OMV6 (6.0.16-1) Linux на основе Debian
- соединения:
Интернет
|
LinuxServer(pppoe)----маршрутизатор(pppoe-relay)
|
Рабочий ПК------------------+
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast состояние UP группа по умолчанию qlen 1000
ссылка/эфир 00:0e:c4:cf:2e:98 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.100/24 brd 192.168.0.255 глобальная область enp2s0
valid_lft навсегда
ссылка на область inet6 fe80::20e:c4ff:fecf:2e98/64
valid_lft навсегда
3: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1454 qdisc pfifo_fast состояние НЕИЗВЕСТНО группа по умолчанию qlen 3
ссылка/ppp
inet x.x.x.x peer x.x.x.x/32 глобальная область видимости ppp0
valid_lft навсегда
- Я добавил правила для отбрасывания всех входящих пакетов от ppp0:
root@lxs:/home/aaa# iptables -L ВХОД -vn
Цепочка INPUT (политика ACCEPT 3625 пакетов, 1238К байт)
pkts bytes target prot opt in out source target
4513 638K ПРИНЯТЬ TCP -- * * 192.168.0.0/24 0.0.0.0/0
460 25241 УДАЛИТЬ все -- ppp0 * 0.0.0.0/0 0.0.0.0/0
- мониторинг пакета. В то же время доступ к веб-серверу (порт 8080) из LTE:
х.х.х.х это IP-адрес ppp0.
root@nas:/home/bjn# tcpdump -i ppp0 -n порт 8080
tcpdump: подробный вывод подавлен, используйте -v[v]... для полного декодирования протокола
прослушивание на ppp0, тип ссылки LINUX_SLL (Linux Cooked v1), длина снимка 262144 байт
15:59:20.474424 IP 133.106.52.47.65368 > x.x.x.x.8080: флаги [S], seq 1901489667, win 65535, параметры [mss 1300,nop,wscale 5,nop,nop,TS val 3868697852 ecrol 0,sackOK,ecr 0] , длина 0
15:59:20.474678 IP x.x.x.x.8080 > 133.106.52.47.65368: флаги [S.], seq 3559979952, ack 1901489668, win 65160, параметры [mss 1414, sackOK, TS val 3483431676, 72wscale, 88scale, 88 ecr 38 0
15:59:20.542349 IP 133.106.52.47.65368 > x.x.x.x.8080: Flags [.], ack 1, win 4105, options [nop,nop,TS val 3868697925 ecr 3483431673], длина 0
15:59:20.558901 IP 133.106.52.47.65368 > x.x.x.x.8080: Flags [P.], seq 1:598, ack 1, win 4105, options [nop,nop,TS val 3868697927 ecr 3483431673], длина 597: HTTP: ПОЛУЧИТЬ/HTTP/1.1
15:59:20.559000 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [.], ack 598, win 505, options [nop,nop,TS val 3483431758 ecr 3868697927], длина 0
15:59:20.619981 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [P.], seq 1:646, ack 598, win 505, options [nop,nop,TS val 3483431819 ecr 3868697927], длина 645: HTTP: HTTP/1.1 200 ОК
15:59:20.621516 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [.], seq 646:1934, ack 598, win 505, options [nop,nop,TS val 3483431820 ecr 3868697927], длина 1288: HTTP
15:59:20.621763 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [.], seq 1934:3222, ack 598, win 505, options [nop,nop,TS val 3483431821 ecr 3868697927], длина 1288: HTTP
15:59:20.621768 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [P.], seq 3222:4510, ack 598, win 505, options [nop,nop,TS val 3483431821 ecr 3868697927], длина 1288: HTTP
15:59:20.622514 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [FP.], seq 4510:5152, ack 598, win 505, options [nop,nop,TS val 3483431821 ecr 3868697927], длина 642: HTTP
- Что я получил
вы можете видеть, что доступ из Интернета не был заблокирован.
кто-нибудь может помочь?
