Jump to content
Калькуляторы

Знатокам iptables. Сайт-заглушка для РКН.

Приветствую, коллеги.

Дошли руки до сайта-заглушки.

Поставил центос, зарулил на него "запрещенный" траффик.

Апач живой, на curl http://127.0.0.1:80 отзывается.

 

Конфиг iptables:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
*nat
-A PREROUTING ! -d *server.ip* -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:80
COMMIT
# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Однако пакеты прилетают снаружи, счетчик пакетов у правила с DNAT крутятся, но tcpdump на лупбеке ничего не кажет и ничего не происходит.

Где я чего недопилил?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this