iptables блокирует перенаправленные запросы на порт 80

Мои правила iptables:

-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 192.168.2.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -p udp -m udp --dport 4567 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Я хочу обновить сертификаты TLS с помощью Let's Encrypt, и для этого мне нужно, чтобы порт 80 был открыт, поэтому я перенаправил его на свой маршрутизатор.

Однако при проверке логов (я временно добавил правило с j LOG для INPUT цепочка), я вижу, что порт 80 использует удаленный адрес в качестве исходного IP-адреса (который, конечно, находится за пределами моей локальной сети) и в соответствии с моим iptables только правила 192.168.2.0/24 может получить доступ к моему веб-серверу.

Как мне это сделать? Нужно ли менять правила брандмауэра каждый раз, когда я хочу обновить свой сертификат TLS?

Я также немного удивлен, потому что я думал, что при использовании NAT исходный IP-адрес будет IP-адресом моего маршрутизатора, а не фактическим удаленным IP-адресом, выполняющим запрос...

Источник

0 ответов

Другие вопросы по тегам