Доступ к проброшенному порту только с заданных IP адресов

[zserg]

Добрый день!

Я достаточно давно не лазал в настройки своего Giga III, последний раз это было еще до версии 3.0. Сейчас мне понадобилось добавить/поменять некоторые настройки и текущая логика работы файрволла вызывает вопросы.

Сейчас у меня 3.3.1. На ней, при добавлении port forward, насколько я понял, автоматом добавляется исключение в iptables->filter->input, чтобы пробрасываемый порт был открыт. Я понимаю, что это сделано для удобства пользования.

Непонятно, как эти "автоматические исключения" взаимодействуют с правилами, которые задаются в фаерволле вручную. Мне нужно ограничить доступ к пробрасываемому порту только для некоторых IP адресов. Как мне это сделать?

Тот же вопрос касательно удаленного доступа - в новой версии это делается одной галочкой ("Разрешить удаленный доступ по HTTP и HTTPS") - как мне ограничитьб доступ только для определенных адресов?

Вообще, было бы здорово где-нибудь увидеть текущую схему цепочек в iptables с указанием, какие действия из GUI что и где меняют. Есть где-нибудь такое?

Спасибо.

[ndm]

Новые подключения (не ESTABLISHED/RELATED) проверяются в таком порядке:

1. ACL (файрволл)
2. "автоматические исключения", которые разрешают прохождение пакетов после DNAT
3. "Разрешить удаленный доступ по"

1 hour ago, zserg said:

было бы здорово где-нибудь увидеть текущую схему цепочек в iptables с указанием, какие действия из GUI что и где меняют

Смотрите show netfilter

[zserg]

Спасибо! А то что мне хочется (разрешить доступ к проброшенному порту с заданного IP) средствами GUI сделать можно? Или только через консоль?

[ndm]

Необходимо добавить два правила: разрешить доступ к проброшенному порту с заданного IP-адреса (внимание: порту, который будет после трансляции) и запретить доступ к порту со всех остальных адресов (0.0.0.0). Это можно сделать через GUI. Будет работать согласно приоритетам.