Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Giga III - Доступ к проброшенному порту

bucuxifi

Asked by bucuxifi,

 Share

Question

bucuxifi Newbie

bucuxifi

Posted
Posted

Добрый день!

При добавлении port forward, насколько я понял, автоматом добавляется исключение в iptables->filter->input, чтобы пробрасываемый порт был открыт. Я понимаю, что это сделано для удобства пользования.

Непонятно, как эти "автоматические исключения" взаимодействуют с правилами, которые задаются в фаерволле вручную. Мне нужно ограничить доступ к пробрасываемому порту только для некоторых IP адресов. Как мне это сделать?

2 answers to this question

Recommended Posts

  • 0
Werld Honored Flooder

Werld

Posted
Posted
22 часа назад, bucuxifi сказал:

Добрый день!

При добавлении port forward, насколько я понял, автоматом добавляется исключение в iptables->filter->input, чтобы пробрасываемый порт был открыт. Я понимаю, что это сделано для удобства пользования.

Непонятно, как эти "автоматические исключения" взаимодействуют с правилами, которые задаются в фаерволле вручную. Мне нужно ограничить доступ к пробрасываемому порту только для некоторых IP адресов. Как мне это сделать?

В cli с помощью команды show netfilter можно посмотреть все текущие правила. В filter->INPUT есть правило вида -A INPUT -m conntrack --ctstate DNAT -j ACCEPT . Правила межсетевого экрана созданные через веб-морду располагаются выше приведенного правила. Соответственно, вам нужно в межсетевом экране создать два правила. В первом нужно разрешить доступ к пробрасываемому порту  для нужных IP. Во втором запретить доступ к этому порту всем. Разумеется, порт надо указывать тот, который уже после DNAT преобразования. Поднобнее об устройстве МСЭ в keenetic здесь, здесь и здесь.

 

  • Thanks 1
  • 0
bucuxifi Newbie

bucuxifi

Posted
  • Author
Posted
On 2/10/2021 at 1:08 PM, werldmgn said:

В cli с помощью команды show netfilter можно посмотреть все текущие правила. В filter->INPUT есть правило вида -A INPUT -m conntrack --ctstate DNAT -j ACCEPT . Правила межсетевого экрана созданные через веб-морду располагаются выше приведенного правила. Соответственно, вам нужно в межсетевом экране создать два правила. В первом нужно разрешить доступ к пробрасываемому порту  для нужных IP. Во втором запретить доступ к этому порту всем. Разумеется, порт надо указывать тот, который уже после DNAT преобразования. Поднобнее об устройстве МСЭ в keenetic здесь, здесь и здесь.

 

спасибо👍

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...