Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: HOWTO: Iptables для новичков  (Прочитано 462779 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн OptionBase

  • Участник
  • *
  • Сообщений: 221
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2115 : 18 Марта 2016, 00:55:12 »
Здравствуйте, подскажите пожалуйста, почему не получается добавить правила в таблицу iptables?

выполняю
(Нажмите, чтобы показать/скрыть)

получаю
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2116 : 18 Марта 2016, 02:35:33 »
Потому что iptables-save.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн OptionBase

  • Участник
  • *
  • Сообщений: 221
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2117 : 18 Марта 2016, 08:39:54 »
Потому что iptables-save.
спасибо, теперь все отображается!

Оффлайн ltd1

  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2118 : 27 Октября 2016, 12:15:09 »
Здравствуйте,
В 2011 году настройл Ubuntu Server 11.04 - samba, dhcp, squid, drweb, pppoe.
В iptables было правило:
iptables -t nat -A PREROUTING ! -d 192.168.1.0/24 -i eth0 -m iprange ! --src-range 192.168.1.2-192.168.1.10 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128
по которому компьютеры с адресами 192.168.1.2-192.168.1.10 выходили в интернет мимо squid'a.
Жесткий умер, поставил новый и настроил всё тоже самое, только теперь на Ubuntu Server 16.10.
Но теперь почему то данное правило не совсем правильно работает. Компьютеры с данными ip также идут в интернет через squid.
Изменился синтаксис? Поправьте, пожалуйста, не могу разобраться.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2119 : 27 Октября 2016, 14:51:29 »
настройл Ubuntu Server 11.04
теперь на Ubuntu Server 16.10.
Месье любит экспериментальные релизы?…
Но теперь почему то данное правило не совсем правильно работает.
У вас это что, единственное правило?… Показывайте полностью iptables-save.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ltd1

  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2120 : 28 Октября 2016, 10:36:55 »
Месье любит экспериментальные релизы?…
В данном месяце релиз считается экспериментальным, а в следующем уже стабильным и хорошим. Зачем ждать месяц, чтобы просто общество считало релиз не экспериментальным. Тем более по факту время отклика интернета на данной сборке оказалось намного меньшим, чем на 11.04. Хотя все конфиги - один в один.
Показывайте полностью iptables-save.
Сегодня скачал конфиг и решил ещё раз перепроверить, нашёл ошибку и всё заработало как надо. Спасибо.)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2121 : 28 Октября 2016, 15:09:50 »
Стабильный и хороший - 16.04. Следующим стабильным и хорошим будет 18.04.
Всё, что между ними - экспериментальное.
Подробности - https://www.ubuntu.com/info/release-end-of-life
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн achilles_85

  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2122 : 12 Декабря 2016, 16:00:01 »
Помогите верно настроить iptables
(Нажмите, чтобы показать/скрыть)

2000,2001,2002 порты подключения впн клиентов
XXX.XXX.XXX.160 с него управляю шлюзом и т.д.
XXX.XXX.XXX.165 адрес шлюза

За шлюзом два контроллера AD, RDP и файловый сервер samba.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2123 : 12 Декабря 2016, 17:27:43 »
ну так-то  всё верно.... правда я отталкиваюсь от того, что настроено. А вот что ожидается - не озвучено.
Хотя можно предположить, что клиенты впн не видят ни самбу, ни рдп ничего остального.

ЗЫ А для клиентов три сервера впн что ли крутиться?

Оффлайн achilles_85

  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2124 : 12 Декабря 2016, 17:39:17 »
fisher74,
1й впн с тап интерфейсом, он основной.
2й тун с маршрутом в тап. Мобильные девайсы в основном.
3й для доступа в инет, не будет иметь доступа к первым двум.
Клиенты из сети 192.168.85.0/24 должны видеть все (самба, рдп и конечно контроллер домена). Все что выше выложил конечно не окончательно, сейчас на стадии поднятия самбы и рдп. Правила еще предстоит дописать.
Я хотел вообще политику OUTPUT также дроппать, но что-то с этим у меня пока не складывается.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2125 : 12 Декабря 2016, 18:50:56 »
Клиенты из сети 192.168.85.0/24 должны видеть все
Видимо это клиенты впн... А раз уж хотите, чтобы они видели все, то и разрешайте им все (цепочка FORWARD с фильтрацеий source-address и по input-интерфейсу)

Оффлайн ivsatel

  • Активист
  • *
  • Сообщений: 336
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2126 : 25 Февраля 2017, 13:56:36 »
Подскажите пожалуйста, почему такое правило вызывает ошибку:
iptables -I BAD_PACKETS_IN 7 -i eth0 -p all --dport 3306 -j REJECT
iptables v1.4.21: unknown option "--dport"
Try `iptables -h' or 'iptables --help' for more information.
Но если конкретно указать протокол, например tcp то все, нормально. Хотел указать любой протокол...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2127 : 25 Февраля 2017, 18:38:11 »
Потому что не все протоколы оперируют таким понятием, как порт. (Больше того, всего три протокола вообще знают, что такое "порт"… (если я не ошибаюсь в подсчётах…))
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ConnaiSSant

  • Активист
  • *
  • Сообщений: 458
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2128 : 25 Февраля 2017, 18:49:53 »
Потому что не все протоколы оперируют таким понятием, как порт. (Больше того, всего три протокола вообще знают, что такое "порт"… (если я не ошибаюсь в подсчётах…))

Интересно, а какой третий? Первые два tcp/udp


UPD:// погуглил

dccp и SCTP так же работают с портами, или в чем то подвох?
« Последнее редактирование: 25 Февраля 2017, 18:58:37 от ConnaiSSant »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: HOWTO: Iptables для новичков
« Ответ #2129 : 25 Февраля 2017, 19:28:26 »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.036 секунд. Запросов: 25.