[Giga III - Доступ к проброшенному порту]

On 2/10/2021 at 1:08 PM, werldmgn said:

В cli с помощью команды show netfilter можно посмотреть все текущие правила. В filter->INPUT есть правило вида -A INPUT -m conntrack --ctstate DNAT -j ACCEPT . Правила межсетевого экрана созданные через веб-морду располагаются выше приведенного правила. Соответственно, вам нужно в межсетевом экране создать два правила. В первом нужно разрешить доступ к пробрасываемому порту  для нужных IP. Во втором запретить доступ к этому порту всем. Разумеется, порт надо указывать тот, который уже после DNAT преобразования. Поднобнее об устройстве МСЭ в keenetic здесь, здесь и здесь.

 

спасибо👍

[Giga III - Доступ к проброшенному порту]

Добрый день!

При добавлении port forward, насколько я понял, автоматом добавляется исключение в iptables->filter->input, чтобы пробрасываемый порт был открыт. Я понимаю, что это сделано для удобства пользования.

Непонятно, как эти "автоматические исключения" взаимодействуют с правилами, которые задаются в фаерволле вручную. Мне нужно ограничить доступ к пробрасываемому порту только для некоторых IP адресов. Как мне это сделать?