Пакеты UDP на порту 10000 и пакеты TCP на порту 4443 не достигают внешнего сервера Jitsi

tag-icon tag-icon iptables
Пакеты UDP на порту 10000 и пакеты TCP на порту 4443 не достигают внешнего сервера Jitsi

Мне нужна помощь в настройке следующего сценария: просмотр веб-страниц небольшой институциональной сети осуществляется через прокси-сервер с аутентификацией, настроенной в Debian как прокси/брандмауэр (с использованием правил iptables) и подключенной к родительскому прокси. Клиенты локальной сети не делают никаких DNS-запросов наружу, поскольку весь просмотр веб-страниц осуществляется через прокси, и какой-либо другой тип доступа к внешней службе не нужен. Теперь: мы должны получить доступ к серверу jitsi по определенному IP-адресу xxx.xxx.xxx.xxx. Веб-доступ к этому серверу jitsi в порядке в том смысле, что прокси заботится об этом, но пакеты на порты UDP 10000 и TCP 4443 соответственно мне не удалось обработать в правилах iptables.

Схема сети выглядит следующим образом:

LAN на eth0 (192.168.0.0/24) ---- (192.168.0.1 ens18) прокси-сервер/брандмауэр Debian (192.168.1.2 ens19) -- (192.168.1.1) МОДЕМ-МАРШРУТИЗАТОР----> ISP

Правила iptables следующие:

 *filter
    :FORWARD DROP [0:0]
    :INPUT DROP [0:0]
    :OUTPUT DROP [0:0]
    # ##### INPUT chain ###### Accept relate or stablished connections
    -A INPUT -m conntrack ! -i lo --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
    -A INPUT -p udp -m udp -m conntrack --dport 33434:33534 --ctstate NEW -j REJECT
    # Anti spoofing rule
    -A INPUT ! -s 192.168.0.0/24 -i ens18 -j LOG  --log-prefix "SPOOFED PKT "
    -A INPUT ! -s 192.168.0.0/24 -i ens18 -j DROP
    # LAN TO PROXY LOCAL
    -A INPUT -p tcp -m state -s 192.168.0.0/24 -i ens18 --dport 8080 --state NEW -j ACCEPT
    # ACCESS TO WEB REPORTS
    -A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 80 --state NEW -j ACCEPT
    # ACCESS TO SSH
    -A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 22 --state NEW -j ACCEPT
    # TIME SYNC FOR LAN
    -A INPUT -p udp -i ens18 -m state --sport 123 --state NEW -j ACCEPT
    # WEBMIN ACCESS
    -A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 10000 --state NEW -j ACCEPT
    # LOG the rest and drop by default input chain
    -A INPUT ! -i lo -j LOG  --log-prefix "DROP INPUT " --log-ip-options --log-tcp-options
    -A OUTPUT -m state --state INVALID -j LOG  --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    -A OUTPUT -m state --state INVALID -j DROP
    -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    # ##### OUTPUT chain ###### ## ACCEPT rules for allowing connections out
    -A OUTPUT -p tcp -m state --dport 21 --state NEW -j ACCEPT
    -A OUTPUT -p tcp -m state --dport 80 --state NEW -j ACCEPT
    -A OUTPUT -p tcp -m state --dport 443 --state NEW -j ACCEPT
    -A OUTPUT -p udp -m state --dport 123 --state NEW -j ACCEPT 
    
     # external DNS servers (only reachable, no recursion enabled) 
    -A OUTPUT -p udp -m state -d XXX.XXX.XXY.131 --dport 53 --state NEW -j ACCEPT
    -A OUTPUT -p tcp -m state -d XXX.XXX.XXX.132 --dport 53 --state NEW -j ACCEPT
    
    -A OUTPUT -m state -d XXX.XXX.XXX.68 --state NEW -j ACCEPT
    **# TRYING TO REACH JITSI SERVER
    -A OUTPUT -m state -d XXX.XXX.ZXX.XXX --state NEW -j ACCEPT**
    -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
    # ##### FORWARD chain ###### Accept relate or stablished connections
    -A FORWARD -m state --state INVALID -j LOG  --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    -A FORWARD -m state --state INVALID -j DROP
    -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A FORWARD ! -s 192.168.0.0/24 -i ens18 -j LOG  --log-prefix "SPOOFED PKT "
    -A FORWARD ! -s 192.168.0.0/24 -i ens18 -j DROP
    
    # prevent forwarding packets for connections initiated from the outside (spoofing)
    -A FORWARD -m state -i ens19 --state NEW -j DROP
    # ## default log rule
    -A FORWARD ! -i lo -j LOG  --log-prefix "DROP FORWARD " --log-ip-options --log-tcp-options
    COMMIT
    # Completed
    # Generated by webmin
    *mangle
    :OUTPUT ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :PREROUTING ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    COMMIT
    # Completed
    # Generated by webmin
    *nat
    :OUTPUT ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :PREROUTING ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    
    # SOURCE NAT FOR LAN NETWORK ON
    -A POSTROUTING -o ens19 -j SNAT --to-source 192.168.1.2
    # MASQUERADE (FOR DYNAMIC IP ADDRESSS IN CASE OF DHCP MODEM)
    -A POSTROUTING -s 192.168.0.0/24 -o ens19 -j MASQUERADE
    
    COMMIT
    # Completed

**** кое-что интересное с этими же правилами брандмауэра: мы можем получить доступ к видеоконференциям на сервереhttps://meet.jit.siбез проблем. Администратор сервера jitsi на xxx.xxx.xxx.xxx утверждает, что нужен только доступ к портам UDP 10000 и TCP 4443, как я объяснил, и, конечно, 443 (который обрабатывается сетевым прокси)

Связанный контент