Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: HOWTO: Iptables для новичков  (Прочитано 462773 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн photon

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #30 : 01 Апреля 2008, 14:15:46 »
Добрый всем день. Хочу уточнить маленький вопрос у гуру :). Ubuntu 7,10. Я установил ее и поставил пакет firestarter - потом узнал, что и без этого файрвол уже есть. Включал, Отключал и т.д. файрстартер, какие-то настройки в нем менял - снес.... Вопрос такой- теперь настройки iptables те которые были изначально по умолчанию или нет? (может я сам могу это как-то узнать) И если нет, то как сделать их по-умолчанию?

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #31 : 01 Апреля 2008, 16:30:08 »
iptables -t filter -L
iptables -t nat -L
iptables -t mangle -L

Везде политика по умолчанию - ACCEPT, правил никаких нет.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн photon

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #32 : 01 Апреля 2008, 21:56:47 »
Спасибо!
А это нормально что все по-умолчанию Accept? Т.е. получается файрвол полностью по-умолчанию выключен? Или он и не нужен особо для домашней машины?

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #33 : 02 Апреля 2008, 06:28:04 »
Я думаю, что не шибко нужен, если в сети нет "злоумышленников" ;) , а интернет за NAT-ом.

Вообще можешь поглядеть, какие порты у тебя слушаются и кем:
sudo netstat -lptu

Если есть что-то лишнее, можно выключить.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн incokeeper

  • Новичок
  • *
  • Сообщений: 40
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #34 : 06 Июня 2008, 01:10:00 »
Добрый вечер. Прочитал это мануал по iptables http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html и всёравно ничего толком не могу понять... в голове каша...((
Опишу ситуацию которая у меня сложилась на данный момент.
Есть сервер, две сетевухи, стоит Ubuntu 8.04. После того как я настроил впн-сервер, у меня возникла проблема с торрентами, т.е. качать могу, а раздавать - зась :P
прописал команду:

iptables -t nat -A PREROUTING -p TCP --dport 8800:8810 -i ppp0 -j DNAT --to 192.168.0.2

после чего трабл пропал, но возник вопрос: Как сделать, чтобы каждый юзер который подключается посредством впн мог использовать торренты.
В мануале прочитал что можно адресовать порт назначения на все интерфейсы ррр, типа что-то вроде этого ррр+
Казалось, что всё просто, но как сделать так чтобы можно одной командо захватить всех юзеров?
Если не тяжело напишите команду плиз.

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #35 : 06 Июня 2008, 21:00:34 »
Адресовать порт на все интерфейсы нельзя. Порт может быть проброшен лишь на одну машину. Можно каждому выделить по одному (несколько) портов.
Одной командой этого сделать нельзя. Нужно столько команд, сколько юзверей.

"+" в правилах iptables как "любое количество любых символов" работает только в условной части правила (там, где проверяются условия, в частности - имя интерфейса).
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн timur73_73

  • Активист
  • *
  • Сообщений: 644
  • йа
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #36 : 07 Июня 2008, 11:27:45 »
как гуи на своей ubuntu поставил guarddog, через sudo редактируются правила для iptables прямо на лету (отключил пока треть протоколов, все нужные мне функции интернета работают), но надо обращаться осторожно с ним
Runtu 14.04.2 LTS х64, XFCE 4, 2x Intel(R) Core(TM)2 Duo CPU E6550 2.33GHz, RAM 4Gb, GeForce 210/PCIe/SSE2 512Mb

Оффлайн AlexeyK

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #37 : 28 Июня 2008, 20:43:43 »
Добрый вечер. Помогите плиз.  Есть скрипт с правилами iptables, который запускал руками после загрузки системы (делал так на время отладки). Когда все правила были оттестированы, решил добавить их в rc.local.
Проблема в следующем. После этого сиситема очень долго загружается (минут 15-20), при удалении правил из rc.local сиситемв грузится нормально. Если даже оставить в rc.local одно правило:
IPTABLES="/sbin/iptables"
$IPTABLES -P INPUT DROP
то система загружается долго.
Кто, что может посоветовать?

Оффлайн Geksa

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #38 : 01 Июля 2008, 04:26:33 »
Что-то не вижу каталога rc.lan.... Есть rc0.d, rc1.d ... и какой из них выбрать?

Оффлайн ADL

  • Активист
  • *
  • Сообщений: 447
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #39 : 01 Июля 2008, 18:05:11 »
Добрый вечер. Помогите плиз.  Есть скрипт с правилами iptables, который запускал руками после загрузки системы (делал так на время отладки). Когда все правила были оттестированы, решил добавить их в rc.local.
Проблема в следующем. После этого сиситема очень долго загружается (минут 15-20), при удалении правил из rc.local сиситемв грузится нормально. Если даже оставить в rc.local одно правило:
IPTABLES="/sbin/iptables"
$IPTABLES -P INPUT DROP
то система загружается долго.
Кто, что может посоветовать?

создайте отдельный файл с вашим скриптом, файл запуска(S) и остановки(K), поместите в rc.d и сделайте линки на нужные вам уровни запуска

Оффлайн AlexeyK

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #40 : 02 Июля 2008, 08:04:16 »
Проблема в следующем. После этого сиситема очень долго загружается (минут 15-20), при удалении правил из rc.local сиситемв грузится нормально. Если даже оставить в rc.local одно правило:
IPTABLES="/sbin/iptables"
$IPTABLES -P INPUT DROP
то система загружается долго.
Кто, что может посоветовать?

Цитировать
создайте отдельный файл с вашим скриптом, файл запуска(S) и остановки(K), поместите в rc.d и сделайте линки на нужные вам уровни запуска

Делал. Стави на разные уровни загрузки. Все равно система при загрузке подвисает. Но правила применяются и работают без проблем. 
« Последнее редактирование: 02 Июля 2008, 08:05:59 от AlexeyK »

Оффлайн Gundos

  • Новичок
  • *
  • Сообщений: 33
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #41 : 02 Июля 2008, 12:36:15 »
man iptables-save
man iptables-restore

Оффлайн dj--alex

  • Старожил
  • *
  • Сообщений: 3237
  • Понимаешь, я какбы беру в руки лопату и говорю...
    • Просмотр профиля
    • все мои творения и занятия
Re: HOWTO: Iptables для новичков
« Ответ #42 : 07 Июля 2008, 19:37:15 »
объясните мне плз
как сделать так чтобы сервер 213.85.55.249
был одновременно и 213.85.55.249 и 192.168.58.249??

http://dj.chg.su/data/2ip.png
в винде сетевой карте назначать 2 IP было просто
а тут, я верно сделал или неверно?

машина все равно недоступна из сети 192.168.
radmin хотя и коннектится through хост 251 но тем не менее управлять сервером невозможно.
(только просмотр,очевидно недоработка wine 1.1)
напрямую  -не коннектится совсем, хотя в роутере разрешен только его порт.
Ubuntu 18.04 MATE x64, 19.3 x64 Mate, MX-Linux 19 Mate Mate Mate Mate. PC:B450\Ryzen3200G\16Gb\6TB\1060gtx\512Gb-Netac
https://forum.ubuntu.ru/index.php?topic=199897.0

Оффлайн feers

  • Новичок
  • *
  • Сообщений: 15
  • Ubuntu
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #43 : 11 Июля 2008, 01:12:11 »
Всем привет, такая проблема, стоит Ubuntu 8.04 харди амд64, установил сервер pvpgn(сервер для варика, диаблы...), есть вторая машина на най стоят окна ХР и запускается d2gs ибо под вайном не ходит нормально... d2gs работает на 4000 port, компы соединены крос патчкордом, на компе с убунтой имеется 2 сетевые карты
1- ая eth0 - через нее идет доступ в инет точнее ppp0 подключаю через него(допустим адрес для пппое 10.1.1.1)
2 -ая eth1 - служит для соединения компов для убунты выставлен 192.168.0.1
3 -ая находится на компе с Окнами имеет айпи 192.168.0.2
d2cs установден на убунте, настроен на закрытый сервер(далее d2gs) 192,168,0,2
d2dbs установлен на убунте, настроен на d2gs 192,168,0,2
Опишу ситуацию... вопщем я заупстил все необхадимые демоны сервера на убунте и d2gs на компе с ХР... запускаю через вайн диаблу, конекчусь к серверу... захожу на d2gs игра создается все ок... т.е получается что я в локалке могу коннектиться к d2gs, но все подсеть 10,1,1,0/24 может зайти на сервер, но соединится  c d2gs не может так как он, является локальным.... и они его не видят...
вот вопрос такого плана : что нужно сделать или что и как профорвардить чтобы пользователи из ppp0 интерфеса могли коннектиться к d2gs на локальной машине с адресом 192,168,0,2? помогите плиз....
Помогу подумать ...

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #44 : 15 Июля 2008, 08:02:24 »
что нужно сделать или что и как профорвардить чтобы пользователи из ppp0 интерфеса могли коннектиться к d2gs на локальной машине с адресом 192,168,0,2? помогите плиз....

Потребуется сделать две вещи:
1) Пробросить какой-нибудь порт снаружи (ppp0) внутрь на 192.168.0.2. Например: 10.1.1.1:4000 -> 192.168.0.2:4000. Делается так:

При поступлении пакета на интерфейс 10.1.1.1 на порт 4000 - изменить адрес и порт его назначения на 192.168.0.2:4000
iptables -t nat -I PREROUTING -d 10.1.1.1 --dport 4000 -j DNAT --to-destination 192.168.0.2:4000
Теперь пакет попадет в таблицу маршрутизации ядра (ip route). В таблице есть запись о том, как попасть на 192.168.0.2. Пакет уходит из таблицы маршрутизации и попадает снова в фаервол:
iptables -t nat -I POSTROUTING -d 192.168.0.2 --dport 4000 -j SNAT --to-source 192.168.0.1
Это мы изменяем адрес источника пакета (например, 10.1.1.3) на внутренний адрес сервера с убунтой (10.1.1.3 -> 192.168.0.1). Это нужно, чтобы пакет смог уйти обратно. Этот шаг можно пропустить, если комп 192.168.0.2 знает, как доставить пакет на адрес 10.1.1.3 (т.е. пинг на него с компа 192.168.0.2 проходит нормально).
Если в таблице FORWARD на убунте стоит политика по умолчанию DROP, то нужно также добавить правило, разрешающее передачу пакетов:
iptables -t filter -I FORWARD -d 192.168.0.2 --dport 4000 -j ACCEPT
По идее теперь любые клиенты, которые подключаются к 10.1.1.1:4000 на самом деле будут подключаться к 192.168.0.2:4000.

2) Нужно добиться, чтобы pvpgn отдавал клиентам из подсети 10.1.1.0/24 в качестве IP d2gs не 192.168.0.2, а 10.1.1.1. Насколько я помню, pvpgn позволяет такое сделать. Кажется в конфигурационном файле nat или что-то типа того. :)
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

 

Страница сгенерирована за 0.031 секунд. Запросов: 25.