» Firewall *nix: iptables, ipfw, pf etc...

Имеем в офисе шлюз на FreeBSD 8.2
Три сетевых интерфейса
re0 - локалка (192.168.0.0/24)
rl0 - 1 провайдер
rl1 - 2 провайдер

IP 1 провайдера 111.111.111.22
GW 1 провайдера 111.111.111.1

IP 2 провайдера 222.222.222.33
GW 2 провайдера 222.222.222.1

В файле /etc/rc.cong
defaultrouter=" 111.111.111.1"

Нужно чтоб сервисы на маршрутизаторе были доступными по обоим внешним адресам одновременно

Сделано средствами IPFW и natd

Содержимое файла /etc/natd.conf


Код: log
instance default
interface rl0
port 8668
use_sockets yes
same_ports yes
redirect_port tcp 192.168.0.105:4899 9800

instance rl1
interface rl1
port 8669
use_sockets yes
same_ports yes

globalport 8670

Эсть freebsd которая по сквиду раздает инет на компы по проксе прямого инета компы неимеют стоит IPFW. надо дать одному компу полный доступ!!
помогите как правильно прописать!!!

jax2004

ipwf allow ip from any to any где ip -айпишник пк которому дать полный доступ

спамибо!!

Создал такое правило:
iptables -t nat -A PREROUTING -p tcp -d 91.195.101.20 --dport 7888 -j DNAT --to-destination 192.168.100.251:7888
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20
Настроил торрент на порт

пишет порт открыт, а закачка не идет
подскажите в чем проблема?

OOD
Цитата:

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20

это правило не правильное. Что Вы им вообще хотели добиться? DNAT написали и всё. SNAT у Вас скорее всего и так есть в виде правила на всю локалку во внешку.

Alukardd
если так то тоже не работает:

-A POSTROUTING -s 192.168.100.251 -p tcp --dport 7888 -j ACCEPT

OOD
Цитата:

Что Вы им вообще хотели добиться?

я бы не отказался взглянуть на вывод
iptables -vnL
iptables -t nat -vnL

Alukardd
Скинул в лс

Цитата:

Alukardd
Скинул в лс

Дискриминация какая-то получается Мы тоже хотим увидеть вывод этих команд.

OOD
Если там ни чего тайного нету, то выложите вывод всем в тэге [no][more][/more][/no]... А то я согласен с т. urodliv. Но инфа Ваша так что решать Вам.

На фига столько правила ACCEPT, если у всех цепочек policy ACCEPT?

Вы где-то адреса поменяли что ли? Т.к. те что представлены здесь и у меня в ЛС разные!

ACCEPT tcp -- * * 10.184.40.253 0.0.0.0/0 tcp dpt:7888во первых, это правила более узкое чем то, что стоит выше MASQUERADE all -- * eth1 10.184.40.253 0.0.0.0/0,Значит оно уже ни когда не сработает. А во-вторых оно не сработает т.к. у вас не dst port 7888, а src port, т.к. на нём висит какой-то сервер и он отвечает с этого порта клиенту на рандомный порт, а не наоборот.

Alukardd

Цитата:

здесь и у меня в ЛС разные!

Да, разные.
вот vi iptables:
[more]
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1500:1550 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5938 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 449 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4899 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4898 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 162 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3389 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5190 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5938 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5938 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9091 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 585 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 500 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1701 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 1701 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4500 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4500 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1313 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT
################################################
*nat
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
UTPUT ACCEPT [0:0]


-A POSTROUTING -s 10.184.40.253/32 -o eth1 -j MASQUERADE


#RADMIN route na 10.184.40.253
-A PREROUTING -d реал айпи -p tcp --dport 4899 -j DNAT --to-destination 10.184.40.253:4899
-A PREROUTING -d реал айпи -p tcp --dport 4898 -j DNAT --to-destination 10.184.40.154:4898


#Torrent
-A PREROUTING -p tcp -d реал айпи --dport 7888 -j DNAT --to-destination 10.184.40.253:7888
#-A POSTROUTING -p tcp --dst 10.184.40.253 --dport 7888 -j SNAT --to-source реал айпи

COMMIT
[/more]

iptables -vnL :
[more]
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
89297 59M RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0. 0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
33248 20M RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0. 0.0.0/0

Chain OUTPUT (policy ACCEPT 105K packets, 77M bytes)
pkts bytes target prot opt in out source destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
86 143K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
18 730 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 255
112K 78M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
19 1464 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:123
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpts:1500:1550
305 18003 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5938
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:449
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:4899
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:4898
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:50000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080
140 7211 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
1558 79116 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
123 9224 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:161
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:162
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3389
2 92 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5190
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5938
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5938
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:9091
2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:585
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:500
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1701
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1701
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1723
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:4500
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1313
8128 607K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[/more]
iptables -t nat -vnL:
[more]
Chain OUTPUT (policy ACCEPT 85260 packets, 62M bytes)
pkts bytes target prot opt in out source destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
84 143K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
16 674 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 255
94053 66M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
17 1312 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:123


Chain PREROUTING (policy ACCEPT 10421 packets, 722K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:443 to:10.184.40.17:443
0 0 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:4899 to:10.184.40.253:4899
0 0 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:4898 to:10.184.40.154:4898
206 10376 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:7888 to:10.184.40.253:7888

Chain POSTROUTING (policy ACCEPT 2694 packets, 179K bytes)
pkts bytes target prot opt in out source destination
68 4300 MASQUERADE all -- * eth1 10.184.40.253 0.0.0.0/0


Chain OUTPUT (policy ACCEPT 2604 packets, 174K bytes)
pkts bytes target prot opt in out source destination

[/more]

OOD
после vi iptables остальное уже можно не показывать было...

Правила я смотрю Вы подправили... И что в текущем варианте не работает? Правила NAT'а настроены вроде правильно. Дальше если что не работает, то надо смотреть чего ещё не хватает µTorrent, что за галочка "Автоназначение порта" и т.п.

Здраствуйте, подскажите пожалуйста что я делаю не так. с Freebsd общаюсь недавно, была поставлена задача поднять почтовый сервер на Mdaemon. поднял, с локальной сети проверил, работает web морда доступна по http://localaddres:3000 почтовый клиент почту отправляет и получает. инет работает через шлюз на freebsd там в файле pf.conf прописываю правила для проброса портов 25, 110, 3000 следующим образом:
rdr on $ext_if proto tcp from any to VneshiyIP port 8080 -> localaddres port 3000 для веб морды
rdr on $ext_if proto tcp from any to VneshiyIP port 25 -> localaddres port 25
rdr on $ext_if proto tcp from any to VneshiyIP port 110 -> localaddres port 110 для почтового клиента

потом делаю рестарт /etc/rc.d/pf restart
вижу в консоли:
Disabling pfpf disabled
.
Enabling pf
при этом сессия до шлюза рвется выкидывая такое сообщение:
Network error: Software caused connection abort

по моему после прописывания портов и рестарта фаервола правила должны примениться и должен быть доступен адрес VneshiyIP:8080 для веб морды и порты 25 и 110 для почтового клиента. но этого не происходит

в браузере на запрос http://VneshniyIP:8080 вижу ->
Во время доставки URL: http://VneshniyIP:8080/

Произошла следующая ошибка:
Доступ запрещён.

Настройка контроля доступа не даёт возможности выполнить Ваш запрос в настоящее время. Пожалуйста, свяжитесь с Вашим поставщиком услуг Интернет, если Вы считаете это неправильным.


то есть получается что порт закрыт и правило не работает. почтовый клиент тоже отказывается работать.

вот собственно вроде бы несложная ситуация но.... не выходит никак. пните пожалуйста если кому не сложно в нужном направлении. заранее благодарен

Alukardd
с µTorrent все ок! Сиды видны, пиры видны, а в состояние закачки не переходит такое ощущение, что это чем то запрещено, может быть помимо открытого порта нужно еще какое то правило?

OOD
Для того что бы качать вообще не надо ни чего пробрасывать, это надо только для того что бы с Вас могли качать.
BitTorrent протокол обычно использует следующие порты.

Вообще я торентами пользуюсь крайне редко поэтому не особо знаком с принципом их работы. А в те редкие случаи когда качая что-либо по средством .torrent файла, то ни каких настроек на шлюзе ни когда под это дело не выполнял. На скачку всё и так работает, да и раздача вроде тоже шла хз уж каким образом.

Alukardd
Создаю такое правило т.е. оно действует на всю локалку
:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6881:6889 -j ACCEPT
все равно не качает!
из пиров виден только я

OOD
? цепочка INPUT это для входящих соединений именно на сам сервер, где работает iptables/netfilter.
Ознакомьтесь ещё раз со схемой.

А я ещё раз обращу внимание что для скачки файла при наличии .rorrent файла не требуются каких-то сверх настроек.

Alukardd
заработало с политикой:
-I FORWARD -s 10.184.40.253 -p tcp --dport 5000:65535 -j ACCEPT

OOD
Oops, мой фейл, а точнее Ваш прежде всего.
Я не оценил что правила для FORWARD Вы отправляете в цепочку для проверки входящих соединений (RH-Firewall-1-INPUT). Это не одно и тоже! Зачем Вы вообще так сделали?

На вопрос из темы


Цитата:

я всетаки думаю что дело в pf. хотя если сделать pfctl -s nat
то видно
rdr on vr1 inet proto tcp from any to внешнийип port = 3000 -> 192.168.0.101 port 3000
rdr on vr1 inet proto tcp from any to внешнийип = smtp -> 192.168.0.101 port 25
rdr on vr1 inet proto tcp from any to внешнийип port = pop3 -> 192.169.0.101 port 110
(это я уже решил пробрасывать не 80 порт внешнего адреса на 3000 порт сервера а напрямую, 3000 на 3000) мне вот интересно достаточно ли прописать в pf.conf такую строку чтобы проброс заработал?
rdr on $ext_if proto tcp from any to внешнийип port 3000 -> 192.168.0.101 port 3000
правило писал по образу тех что были написаны до меня

Кроме правил непосредственно ната, проверь наличие фаервольных правил, разрешающих хождение соответсвующих пакетов из-за периметра сети внутрь.
И еще, как уже говорил, посмотри сниффером(tcpdump), что творится на внешнем и внутреннем интерфейсе.

Alukardd

Цитата:

Зачем Вы вообще так сделали?

конфиг нашел в гугле и кое как в нем разобрался но не на все 100%
в никсе не шарю

нашел у себя в pf.conf строку block log all
закоменитровал и заработало все. одно непонятно эта строка стояла после всех правил проброса портов а не работали только те правила которые я создавал. те которые были созданы - работали. подскажите что вобще блокирует это правило?

freesmart
Я же уже сказал, что кроме правил проброса, которые просто меняют адрес назначения, должны быть еще и фаервольные правила, разрешающие хождение таких пакетов.
Если созданные до тебя пробросы работали, значит в конфиге для них кроме rdr-правил были еще и pass-правила.

Правила должны выглядеть примерно так:

pass proto tcp from any to 192.168.0.101 port {25,110,3000} keep state

единственное проверь синтаксис - я не помню как точно указывается перечень портов в pf, нужны фигурные скобки или нет.

bga83 огромное вам спасибо. теперь все работает.

привет, глупый вопрос:

есть роутер с iptables, есть сетка (192.168.1.0/24), есть еще 1 сетка на роутере (172.16.0.0/12)
нужно запретить ходить с адресов 192.168.1.40-192.168.1.255 на 172.16.0.0/12
что-то ничего не выходит (iptables я не знаю вообще)
пробовал следующее:

Код:
iptables -A FORWARD -o tun21 -m iprange --src-range 192.168.1.40-192.168.1.255 -j DROP
iptables -A OUTPUT -o tun21 -m iprange --src-range 192.168.1.40-192.168.1.255 -j DROP
iptables -A FORWARD -m iprange --src-range 192.168.1.40-192.168.1.255 -d 172.16.0.0/12 -j DROP

Приветствую!

Помогите написать правила для ipfw, что бы соединения идущие на определённый ip:port текущей машины, уходили на другой ip.

Я попробовал одну хрень, после чего лешился доступа к машине, так что экспериментировать возможности нету.

попробовал:
kldload ipfw_nat
sysctl net.inet.ip.forwarding=1
ipfw nat 1 config log if igb0 reset same_ports deny_in redirect_port tcp ${remote_ip}:443 443
ipfw add 10130 nat 1 ip from any to any via igb0

сейчас по сути ни чего нету:
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65535 allow ip from any to any

Это ответ на вопрос от Vania.
В обоих наборах правил вы разрешаете только входящий трафик. А исходящий - нет. Во втором примере (с проверкой состояния соединения) указывать у входящих правил только состояние NEW нелогично.
P.S. Для работы l2tp поверх ipsec`а помимо портов 500, 1701 (4500 только если будет задействован nat-t) надо разрешать прохождение протокола esp, и, возможно, ah. У вас этого нет. И таки да, порты 500, 1701 и 4500 надо открывать только для udp.

Я по этому руководству пытаюсь установить IPSEC/L2TP VPN on CentOS 6 / Red Hat Enterprise Linux 6 / Scientific Linux 6 там написано что 1701 порт TCP нужно открывать. Я открываю и TCP и UDP для всех указанных в руководстве портов 1701, 4500, 500. Если смотреть netstat -npl сервер xl2tpd действительно по порту 1701 UDP слушает.

Я Linux знаю на начальном уровне, поэтому нужные мне правила я не напишу. Поэтому если кто-то поможет написать правила для моего случая был бы благодарен.

Чем можно проверить открыты ли порты UDP?

Vania

Цитата:

Я открываю и TCP и UDP для всех указанных в руководстве портов

Не видим. Объяснение смотри выше.

Цитата:

Я Linux знаю на начальном уровне, поэтому нужные мне правила я не напишу.

За вас их мы писать тоже не будем. Печалька.

Цитата:

Поэтому если кто-то поможет написать правила для моего случая был бы благодарен.

В шапке этой темы уважаемый Alukardd разместил ссылку на онлайн генератор.

P.S. А у хостера для вас открыты все порты? Может вы не там "рыбу ловите"?