Como permitir todas as conexões de um endereço IP específico?

3

Eu quero permitir todas as conexões de um endereço IP específico, mas não estou conseguindo.

SO: Ubuntu Server 16.04. (servidor de entrada e saída)

Eu executei estes comandos:

iptables -I INPUT -p tcp -s 192.168.0.45 -j ACCEPT
iptables -I OUTPUT -p tcp -d  192.168.0.45 -j ACCEPT

service netfilter-persistent save
/etc/init.d/netfilter-persistent restart

Mas não está funcionando.

É assim que meu rules.v4 se parece:

# Generated by iptables-save v1.6.0 on Thu Jun 22 08:48:43 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 192.168.0.45/32 -p tcp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8025 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 17000 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -d 192.168.0.45/32 -p tcp -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Thu Jun 22 08:48:43 2017

Estou recebendo todas as conexões somente se eu liberar tudo com

iptables -F

Como permitir corretamente todas as conexões de um endereço IP específico?

    
por iWizard 22.06.2017 / 08:51

1 resposta

5

"Todas as conexões" significam não corresponder ao tcp na sua regra de permissão ip específica! Apenas remova -p tcp e você obterá ping (icmp) e todas as outras coisas de proto ip funcionando. Observe também que a regra de saída não é útil. Com a primeira regra você permite tcp para 192.168.0.45, com o segundo você permite qualquer coisa de / para qualquer um. Então o primeiro não tem efeito.

Para obter o que você deseja, edite a regra de entrada:

iptables -A INPUT -s 192.168.0.45/32 -j ACCEPT

E remova o 0,45 OUTPUT um.

    
por 22.06.2017 / 09:11

Tags