那些遇到过的问题

NordVPN 的 iptables 规则有什么问题?他们的员工无法解决问题

Mou*_*inX 5 firewall iptables nordvpn

适用于 Linux 的 NordVPN 应用程序具有端口和子网白名单功能。使用以下命令启用它(对于我的端口和子网):

nordvpn whitelist add subnet 192.168.1.0/24
nordvpn whitelist add port 22
Run Code Online (Sandbox Code Playgroud)

但是,当该设备连接到 VPN 时,我无法从子网中的另一台设备通过 SSH 访问它。我写了 NordVPN 支持,他们回答说:

目前,我们在 Linux 的 NordVPN 应用程序中遇到了一些关于端口和子网白名单的问题。

他们没有提供任何有用的建议。我看了一下iptables规则。他们对我来说似乎没问题,但是当我刷新所有规则(连接到 VPN 时)时,我就能够从我的其他本地设备建立到这个设备的 SSH 连接。这表明规则工作不正常。

NordVPN 的规则是:

# Generated by iptables-save v1.8.4 on Sun Apr 12 16:11:29 2020
*filter
:INPUT DROP [86:19526]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [103:7935]
-A INPUT -i nordlynx -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 89.87.71.71/32 -i lo -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 89.87.71.71/32 -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 89.87.71.71/32 -i nordlynx -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.5.0.0/16 -i nordlynx -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p udp -m udp --dport 6568 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p tcp -m tcp --dport 6568 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p udp -m udp --dport 7070 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p tcp -m tcp --dport 7070 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i lo -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 6568 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 6568 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 7070 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 7070 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -d 103.86.99.99/32 -o lo -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 103.86.96.96/32 -o lo -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 103.86.99.99/32 -o nordlynx -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 103.86.96.96/32 -o nordlynx -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o nordlynx -j ACCEPT
-A OUTPUT -d 89.87.71.71/32 -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.0/8 -o lo -j ACCEPT
-A OUTPUT -d 89.87.71.71/32 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -o eth0 -j ACCEPT
-A OUTPUT -d 89.87.71.71/32 -o nordlynx -j ACCEPT
-A OUTPUT -d 10.5.0.0/16 -o nordlynx -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -o lo -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sun Apr 12 16:11:29 2020
Run Code Online (Sandbox Code Playgroud)

我用以下方法冲洗它们:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
Run Code Online (Sandbox Code Playgroud)

刷新规则后,我的 SSH 连接按预期工作。(我通过重新启动它来恢复 NordVPN 的规则。)上面的规则需要改变什么才能让这个设备接受来自 LAN 的传入 SSH 连接(端口 22)?

为回复评论而添加的信息:

# ip -br address
lo               UNKNOWN        127.0.0.1/8
eth0             UP             192.168.1.3/24
nordlynx         UNKNOWN        10.5.0.2/16

# ip rule
0:      from all lookup local
32764:  from all lookup main suppress_prefixlength 0
32765:  not from all fwmark 0xca6c lookup 51820
32766:  from all lookup main
32767:  from all lookup default

# ip route
default via 192.168.1.1 dev eth0 proto dhcp metric 20100
10.5.0.0/16 dev nordlynx proto kernel scope link src 10.5.0.2
192.168.1.0/24 via 192.168.1.1 dev eth0
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.3 metric 100

ip route show table 51820
default dev nordlynx scope link
Run Code Online (Sandbox Code Playgroud)

我正在使用 NordVPN 的有线保护技术 (nordlynx)。但是在使用 openvpn 技术而不是 wireguard 时存在问题。我测试了两种方式。

小智 1

我遇到了类似的问题,尝试白名单192.168.0.0/16而不是192.168.1.0/24. 这在 3.8.10 版本上对我有用。

NordVPN 支持部门的 David 让我尝试一下,以防万一,结果很有效。他说他无法解释为什么,因为理论上/24应该有效,但既然它现在对我有效,我不能抱怨太多。

另外,我能够从白名单中删除端口 22,而不会破坏 SSH。

归档时间:

查看次数:

2656 次

最近记录:

4 年,9 月 前
SSH 服务器不响应连接请求 19
更多相关链接
相关归档
UFW:仅允许来自具有动态 IP 地址的域的流量 42
如何禁用特定事件的 UFW 日志记录? 16
IPTables - 到另一个 ip 和端口的端口(从内部) 10
iptables-save 输出中括号中的数字是什么意思? 8
如何修复“文件”*.service“配置了 IP 防火墙(IPAddressDeny=any),但本地系统不支持基于 BPF/cgroup 的防火墙”? 8
tcpdump 看不到 iptables FORWARD 链流量 6
iptables 多端口模块是否比多个单独的规则提供更高的性能优势? 5
nftables 规则:没有此类文件或目录错误 5
iptables 如何识别数据包状态? 4
阻止 WAN 访问 - 允许 LAN 访问 - Linux 主机 3
难疑归档
“apt-get”和“aptitude”之间的真正区别是什么?(“wajig”怎么样?) 267
如何在命令行上设置环境变量并让它出现在命令中? 266
Linux 是 Unix 吗? 203
tar:从成员名称中删除前导“/” 179
Linux下如何从/proc/$pid/mem读取? 155
如何从命令行检查交换是否处于活动状态? 149
获取 SSH 服务器密钥指纹 119
本地可执行文件应该放在哪里? 106
列表中有屏幕,但“没有要恢复的屏幕” 91
展平嵌套目录 91