HOWTO: Iptables для новичков

[AlexeyK]

В догонку к предыдущему вопросу.
Нужно за Nat скрыть локальную сеть, но чтобы определенному адресу из локальной сети присваивался определенный адрес из внешней сети.

локальная                       внешняя
192.168.0.50              10.60.1.5
192.168.0.60              10.60.1.6
192.168.0.70              10.60.1.7

Сколько необходимо в сервер поставить сетевых карт (достаточно ли двух (одна - локальная сеть, другая - внешняя) ?

[Lion-Simba]

Двух достаточно. Например так:

На внешней сетевухе создать несколько алиасов (виртуальных сетевух) с разными IP-адресами из 10.60.1.*. Ну и NATить на них обычным способом, например:
iptables -t nat -A POSTROUTING -s 192.168.0.50 -j SNAT --tosource 10.60.1.5
iptables -t nat -A POSTROUTING -s 192.168.0.60 -j SNAT --tosource 10.60.1.6
...
Собственно, при таком раскладе никто из вне не будет видеть локальных клиентов даже по их внешним адресам. Я думаю это и есть "скрыть за Nat локальную сеть".

[AlexeyK]

Двух достаточно. Например так:

На внешней сетевухе создать несколько алиасов (виртуальных сетевух) с разными IP-адресами из 10.60.1.*. Ну и NATить на них обычным способом, например:
iptables -t nat -A POSTROUTING -s 192.168.0.50 -j SNAT --tosource 10.60.1.5
iptables -t nat -A POSTROUTING -s 192.168.0.60 -j SNAT --tosource 10.60.1.6
...
Собственно, при таком раскладе никто из вне не будет видеть локальных клиентов даже по их внешним адресам. Я думаю это и есть "скрыть за Nat локальную сеть".

Спасибо большое. Все заработало.

[bujhm666]

Нужно создать для rtorrent что то подобное ipfilter.dat  чтобы отсечь внешний трафик на определенном порту.
Прикинул для этого набор правил. Посмотрите пожалуйста все ли нормально, или можно оптимизировать.

#Dropping all packets
iptables -A OUTPUT -p tcp --destination-port 48334 -j DROP
iptables -A INPUT -p tcp --destination-port 48334 -j DROP

iptables -A OUTPUT -p udp --destination-port 48334 -j DROP
iptables -A INPUT -p udp --destination-port 48334 -j DROP

#Accepting packets for networks
iptables -A OUTPUT -p tcp --destination-port 48334 -m iprange --dst-range 94.28.128.0-94.28.255.255 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 48334 -m iprange --dst-range 212.12.0.0-212.12.31.255 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 48334 -m iprange --dst-range 94.28.128.0-94.28.255.255 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 48334 -m iprange --dst-range 212.12.0.0-212.12.31.255 -j ACCEPT

iptables -A OUTPUT -p udp --destination-port 48334 -m iprange --dst-range 94.28.128.0-94.28.255.255 -j ACCEPT
iptables -A OUTPUT -p udp --destination-port 48334 -m iprange --dst-range 212.12.0.0-212.12.31.255 -j ACCEPT
iptables -A INPUT -p udp --destination-port 48334 -m iprange --dst-range 94.28.128.0-94.28.255.255 -j ACCEPT
iptables -A INPUT -p udp --destination-port 48334 -m iprange --dst-range 212.12.0.0-212.12.31.255 -j ACCEPT

[HNKNTA]

у меня во внешку идет определенная сетевуха, я делал так:
iptables -A INPUT -i eth0  -p tcp --dport 6882 -j DROP
iptables -A OUTPUT -o eth0 -p tcp --sport 6882 -j DROP

[bujhm666]

У нашего провайдера определенные диапазоны ip считаются внутренними и трафик по ним не учитывается.
Мне нужно заставить rtorrent работать только в этих диапазонах ip.

[InkVisitor]

А что, в вашей сети все торрент-клиенты на одном порту висят?

[bujhm666]

Все клиенты меня не интересуют. У меня в модеме проброшен один порт для торрента и именно этот порт мне надо ограничить.

[sliva721]

Всем доброго времени суток! Впервые в жизни установил linux-систему: Mandriva 2008, с одной единственной целью сделать "железный" маршрутизатор-файерволл. Установил IPTABLES. Туториал по ним лежит перед глазами, подчерпнул много нужного и умного в Вашем форуме, посему всё получилось с первого раза, но пока интересуют 2 вопроса (возможно сильно ламерские):

1. При загрузке машины начинают бежать по экрану логи всех соединений... Т.е. я начинаю вводить login или пароль, но вдруг по экрану начинают двигаться строки с подробным описанием какая машина с какой коннектится, всякие тех.данные. Точно так же запускаю MC начинаю что-то редактировать и вдруг бац - всё поехало....
Что нужно сделать, чтоб этого не было?? В чём ошибка?

2. Я создал сценарий правил IPTABLES. Согласно Туториалу все правила для последующей загрузки сохранял по iptables-save > /etc/sysconfig/iptables...
но потом прочитал, что можно просто засунуть этот сценарий (скрипт) в /etc/rc.local , что я собственно и сделал! Правильно ли я понял, что можно ВСЁ пихать в виде скриптов в rc.local и тогда система будет грузиться с теми настройками какие мне нужны, ну, типа могу вставить скрипты, которые при загрузке будут менять адреса сетевых интерфейсов, маршруты и т.д.... Или есть более простые способы или этот способ чем то чревато???

СПАСИБО!

[Lion-Simba]

1. При загрузке машины начинают бежать по экрану логи всех соединений...
Что нужно сделать, чтоб этого не было?? В чём ошибка?

Два момента. Первый - посмотреть ваш iptables-скрипт на предмет наличия правил с целью LOG (-j LOG). Именно они отправляют информацию в логи.
Второй - демон (сервис) логов - syslogd - по умолчанию важные с его точки зрения сообщения пишет на активный терминал, дабы пользователь узрел эту важную информацию сразу. Можно перенастроить syslogd.

2. Правильно ли я понял, что можно ВСЁ пихать в виде скриптов в rc.local и тогда система будет грузиться с теми настройками какие мне нужны, ну, типа могу вставить скрипты, которые при загрузке будут менять адреса сетевых интерфейсов, маршруты и т.д.... Или есть более простые способы или этот способ чем то чревато???

Правильно понял.

Но есть несколько нюансов. Например, что rc.local запускается исключительно при загрузке системы, но не при подключении/отключении сетевых интерфейсов. У меня на серваке, например, маршруты определены в скриптах подключения интерфейсов и соответственно активируются в момент подключения интерфейса, а не при загрузке системы.

[sliva721]

Первый - посмотреть ваш iptables-скрипт на предмет наличия правил с целью LOG (-j LOG). Именно они отправляют информацию в логи.

Большое спасибо! Абсолютно так... Самое главное, что я видел эти строки, но был уверен, что всё должно писАться в какой-то файл (именно этот кусок скрипта взял с форума...) - закомментировал, всё ОК!

Но есть несколько нюансов. Например, что rc.local запускается исключительно при загрузке системы, но не при подключении/отключении сетевых интерфейсов. У меня на серваке, например, маршруты определены в скриптах подключения интерфейсов и соответственно активируются в момент подключения интерфейса, а не при загрузке системы.

Понял. У меня есть в наличии "тестовый" уже настроенный файер (по его подобию и делал сам), так вот на нём всё происходит именно так как у тебя, но в стартовом скрипте я прописал "погасить" все интерфейсы, очистить адресацию, маршруты и всё вновь поднять как МНЕ НАДО!
Всё получилось. Это тоже правильно? Ничего тут не рушит систему? или может нагрузка какая увеличивается? (вроде всё работало...)

[Lion-Simba]

Всё получилось. Это тоже правильно?

Вполне.

[sliva721]

Вполне.

БОЛЬШОЕ СПАСИБО!

[bujhm666]

Мой вопрос про ограничения для rtorrent снят. Вместо скриптов для сервера я прописал все правила в ipfilter ADSL модема. Все отлично. Весь внешний трафик режет.
Там в принципе тоже linux но интерфейс намного более дружественный.

[akademuk]

настроил iptables по манам, расшарил инет, все вродебы срост, но мучает один момент, не понял зачем нужно подгружать модкли.....

как бы узнать какие строки из нижеприведенного кода мне нужны, а какие нет.....т.е. какие модули нужно всетаки подгружать а какие нет

Код: [Выделить]

###########################################################################
#
# 2. Module loading.
#

#
# Needed to initially load modules
#

#/sbin/depmod -a

#
# 2.1 Required modules
#

#/sbin/modprobe ip_tables
#/sbin/modprobe ip_conntrack
#/sbin/modprobe iptable_filter
#/sbin/modprobe iptable_mangle
#/sbin/modprobe iptable_nat
#/sbin/modprobe ipt_LOG
#/sbin/modprobe ipt_limit
#/sbin/modprobe ipt_state

#
# 2.2 Non-Required modules
#

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

PS:может кто видел ман по этому поводу?? Пытался поискать в инте но толком даже не понял какую функцию выполняет modprobe......(