Vì vậy, tôi tạo một máy chủ vpn tại nhà và trỏ đến nó bằng một miền cloudflare được cập nhật 5 phút một lần với ip nhà của tôi.
Bây giờ tôi có thể truy cập vào máy chủ, nhưng tôi nghĩ rằng tôi đã làm hỏng điều gì đó với iptables, bởi vì tôi vẫn chỉ có thể ssh khi tôi ở trong mạng LAN của mình, nhưng tôi muốn có thể ssh từ bên ngoài
Khi tôi cố ssh vào miền hoạt động khi sử dụng vpn, tôi nhận được Kết nối bị đóng bởi cổng myip 22
Tôi đã thử các cách sau nhưng tôi vẫn không thể ssh với tên miền của mình
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate MỚI, ĐÃ THÀNH LẬP -j CHẤP NHẬN
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate THÀNH LẬP -j CHẤP NHẬN
Đây là toàn bộ iptables của tôi cho đến bây giờ
-P ĐẦU VÀO THẢ
-P VỀ PHÍA TRƯỚC DROP
-P CHẤP NHẬN ĐẦU RA
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-NGƯỜI DÙNG
-N ufw-sau-chuyển tiếp
-N ufw-sau-đầu vào
-N ufw-sau-đăng nhập-chuyển tiếp
-N ufw-sau-đăng nhập-đầu vào
-N ufw-sau-đăng nhập-đầu ra
-N ufw-after-output
-N ufw-trước-chuyển tiếp
-N ufw-trước-đầu vào
-N ufw-trước khi đăng nhập-chuyển tiếp
-N ufw-trước khi đăng nhập-đầu vào
-N ufw-trước-đăng nhập-đầu ra
-N ufw-trước-đầu ra
-N ufw-đăng nhập-cho phép
-N ufw-đăng nhập-từ chối
-N ufw-not-local
-N ufw-từ chối-chuyển tiếp
-N ufw-từ chối-đầu vào
-N ufw-từ chối-đầu ra
-N ufw-skip-to-policy-forward
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-theo dõi-chuyển tiếp
-N ufw-theo dõi-đầu vào
-N ufw-theo dõi-đầu ra
-N ufw-người dùng chuyển tiếp
-N ufw-người dùng-đầu vào
-N ufw-giới hạn người dùng
-N ufw-người dùng-giới hạn-chấp nhận
-N ufw-người dùng-đăng nhập-chuyển tiếp
-N ufw-user-log-input
-N ufw-user-log-output
-N ufw-đầu ra của người dùng
-A INPUT -j ufw-before-log-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-log-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate MỚI, ĐƯỢC THÀNH LẬP -j CHẤP NHẬN
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A FORWARD -o docker0 -j DOCKER
-A VỀ PHÍA TRƯỚC -i docker0 ! -o docker0 -j CHẤP NHẬN
-A CHUYỂN ĐI -i docker0 -o docker0 -j CHẤP NHẬN
-A FORWARD -j ufw-trước-đăng nhập-chuyển tiếp
-A PHÍA TRƯỚC -j ufw-trước-chuyển tiếp
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-log-forward
-A PHÍA TRƯỚC -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-trước-đăng nhập-đầu ra
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-log-output
-A OUTPUT -j ufw-từ chối-đầu ra
-A OUTPUT -j ufw-track-output
-A ĐẦU RA -p tcp -m tcp --sport 22 -m conntrack --ctstate THÀNH LẬP -j CHẤP NHẬN
-A DOCKER -d 172.17.0.3/32 ! -i docker0 -o docker0 -p udp -m udp --dport 51820 -j CHẤP NHẬN
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-log-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-Một ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j CHẤP NHẬN
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j CHẤP NHẬN
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j CHẤP NHẬN
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j CHẤP NHẬN
-A ufw-trước-chuyển tiếp -j ufw-người dùng-chuyển tiếp
-A ufw-before-input -i lo -j CHẤP NHẬN
-A ufw-before-input -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-Một ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j CHẤP NHẬN
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j CHẤP NHẬN
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j CHẤP NHẬN
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j CHẤP NHẬN
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j CHẤP NHẬN
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j CHẤP NHẬN
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j CHẤP NHẬN
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j CHẤP NHẬN
-A ufw-before-output -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A ufw-before-output -j ufw-user-output
-Một giới hạn ufw-logging-allow -m --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW]"
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-Một giới hạn ufw-logging-deny -m --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK]"
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-Một ufw-skip-to-policy-input -j DROP
-Một ufw-skip-to-policy-output -j CHẤP NHẬN
-A ufw-track-output -p tcp -m conntrack --ctstate MỚI -j CHẤP NHẬN
-A ufw-track-output -p udp -m conntrack --ctstate MỚI -j CHẤP NHẬN
-A ufw-user-input -p tcp -m tcp --dport 22 -j CHẤP NHẬN
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW GIỚI HẠN KHỐI] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j CHẤP NHẬN
Tôi đang cố gắng chặn mọi thứ bằng
iptables -P INPUT DROP
Và tôi đang cho phép vpn hoạt động như sau
iptables -A INPUT -i lo -j CHẤP NHẬN
iptables -A INPUT -m state --state ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN
iptables -A INPUT -p udp --dport 51820 -j CHẤP NHẬN // cổng vpn của tôi
