iptables открыть порт VNC))

Иногда требуется быстро на некоторое время разрешить доступ к некоторым портам сервера только с определенных IP.

Например, когда сервер загружен в rescue и диски сервера проброшены в виртуальную с VNC — доступом. В этом случае пара правил в iptables поможет защитить сервер от групп китайцев и прочих cool-хацкеров.

# Сначала запрещаем все VNC порт 5901
iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 5901 -j DROP
# Теперь разрешаем для клиентского IP или подсети
iptables -I INPUT -p tcp -s 46.160.11.0/24 --dport 5901 -j ACCEPT

Если наблюдаются ошибки в приведенных выше командах, или в простейших, например:

# 
root@rescue ~ # iptables -L
iptables: Operation not supported.
То нужно сменить библиотеку iptables-nft на iptables-legacy
root@rescue ~ # update-alternatives --config iptables
There are 2 choices for the alternative iptables (providing /usr/sbin/iptables).
 
  Selection    Path                       Priority   Status
------------------------------------------------------------
* 0            /usr/sbin/iptables-nft      20        auto mode
  1            /usr/sbin/iptables-legacy   10        manual mode
  2            /usr/sbin/iptables-nft      20        manual mode
 
Press <enter> to keep the current choice[*], or type selection number: 1
update-alternatives: using /usr/sbin/iptables-legacy to provide /usr/sbin/iptables (iptables) in manual mode
root@rescue ~ # iptables -F
root@rescue ~ # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
После этого приведенные выше команды работают без проблем.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *