Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: iptables и автоматическая загрузка  (Прочитано 35865 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: iptables и автоматическая загрузка
« Ответ #15 : 14 Августа 2009, 20:15:13 »
Мб и костыль, но работать начало с 7.10
да и правила всегда по новой при загрузке заливаются, всегда на виду
iptables-save не так много народу использует -> меньший багрепорт

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #16 : 14 Августа 2009, 21:59:19 »
Я уже устал искать метод автомачиской загрузки iptables. оставил так чтоб после перезагруки ручками их подгружать

Чего его искать?

sudo iptables-save > /etc/iptables-my-own

В interfaces всем внешним адаптерам
  post-up iptables-restore < /etc/iptables-my-own

Это конечно при условии, что таблица статичная, от смены фазы луны не меняющаяся.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн xazrad

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #17 : 14 Августа 2009, 22:45:17 »

sudo iptables-save > /etc/iptables-my-own

В interfaces всем внешним адаптерам
  post-up iptables-restore < /etc/iptables-my-own

Это конечно при условии, что таблица статичная, от смены фазы луны не меняющаяся.

Вот сволочь так не стартует у меня

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #18 : 14 Августа 2009, 23:32:30 »
Как "так"? Покажи конфиги.
И права на чтение для файла с правилами проверь.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн nucleon

  • Любитель
  • *
  • Сообщений: 92
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #19 : 18 Октября 2009, 12:18:24 »
здравствуйте уважаемые гуру!
есть похожий вопрос, но похоже что все дело в правилах - через NAT не ходит почта
и так версия ос ubuntu 8.04.03
конфигурация сети
eth0 - аварийная сеть, в настоящий момент не задействована
eth1 - локальная сеть 10.10.10.0/24
eht2 - сеть провайдера с внешним ip (xx.xx.xx.xx)
tun0
а вот файлик настройки iptables:
Цитировать
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# ставим правило по умолчанию
#- блокировать прием для всех входящих сообщений
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Установка стандартных политик в таблице nat.
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# Установка стандартных политик в таблице mangle.
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешить соединения, которые инициированы изнутри (eth1) - тут не уверен что правильно и нафига...
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# эти правила открыли порты 53 и 80 для всех из интернета
iptables -A INPUT -p udp --dport 53 -j ACCEPT       #dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT       #web
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# правила открывающие доступ только из определенных сетей (из локальной сети eth1, виртуальной сети tun0,
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT      #ssh
iptables -A INPUT -i tun0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 1194 -j ACCEPT    #VPN
iptables -A INPUT -i eth2 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 1194 -j ACCEPT    #VPN
iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT    #VPN
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT      #squid
iptables -A INPUT -i tun0 -p tcp --dport 3128 -j ACCEPT

# включаем NAT
iptables -t nat -A POSTROUTING -o eth2 -s 10.10.10.0/24 -j SNAT --to-source xx.xx.xx.xx
iptables -t nat -A POSTROUTING -o tun0 -s 10.10.10.0/24 -j SNAT --to-source 10.10.11.1
iptables -t nat -A POSTROUTING -o eth2 -s 10.10.11.0/24 -j SNAT --to-source xx.xx.xx.xx
iptables -t nat -A POSTROUTING -o eth1 -s 10.10.11.0/24 -j SNAT --to-source 10.10.10.1
#или маскарад
#iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

# пробрасываем порты
iptables -t nat -A PREROUTING -i eth2 -p tcp -d xx.xx.xx.xx --dport 16163 -j DNAT --to-destination 10.10.10.3
iptables -t nat -A PREROUTING -i eth2 -p udp -d xx.xx.xx.xx --dport 16163 -j DNAT --to-destination 10.10.10.3
# или вот так:
#iptables -t nat -A PREROUTING --dst xx.xx.xx.xx -p tcp --dport 16163 -j DNAT --to-destination 10.10.10.2:16163
#iptables -t nat -A PREROUTING --dst xx.xx.xx.xx -p udp --dport 16163 -j DNAT --to-destination 10.10.10.2:16163

# привина на icmp:
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

iptables-save > /etc/iptables.up.rules
собственно все... и вот после всех этих правил не работает почта... и не понимаю в чем трабла...

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: iptables и автоматическая загрузка
« Ответ #20 : 18 Октября 2009, 16:49:57 »
$ cat /proc/sys/net/ipv4/ip_forward

Оффлайн nucleon

  • Любитель
  • *
  • Сообщений: 92
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #21 : 18 Октября 2009, 17:27:19 »
1

Пользователь решил продолжить мысль 18 Октября 2009, 15:28:07:
ах да и походу порты не пробрасываются...
пробрасываются, но дико тормозят...

« Последнее редактирование: 18 Октября 2009, 17:42:47 от nucleon »

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: iptables и автоматическая загрузка
« Ответ #22 : 18 Октября 2009, 17:46:32 »
попробуй
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Оффлайн nucleon

  • Любитель
  • *
  • Сообщений: 92
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #23 : 21 Октября 2009, 23:44:54 »
не помогло... результат заметен, но чисто экспериментально, в реальности его почти нет (менее 7% прирост)
 пока смотрю, что может так влиять на скорость соединения, но

Оффлайн farkhad

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #24 : 05 Ноября 2009, 00:15:26 »
нид хельп!
вводная: кUbuntu 9,10. поднимается ВПН и через iptables раздается на соседнюю машину. Всё в rc.local.
собственно, rc.local:
pon vpn
route del default
route add default dev ppp0
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -p all -s xxx.xxx.xxx.xxx  -o ppp0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
при перезагрузке не применяется правило,
т.е.
iptables -t nat -Lвозвращает пустую таблицу. При наборе того же правила ручками все идет на ура. Где ошибка?

P.S. не надо говорить, что в ДНК, сам в курсе  :coolsmiley:

Оффлайн tdm

  • Любитель
  • *
  • Сообщений: 89
  • Ubuntu Server
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #25 : 22 Января 2010, 09:28:23 »
Вопрос такой:

в файле /etc/sysctl.conf  раскомментировать строчку:

net.ipv4.ip_forward=1

и добавлять в скрипт строчку:

echo "1" > /proc/sys/net/ipv4/ip_forward (как было указано выше) - это одно и тоже или нет?

Я понимаю, что это два взаимозаменяемых действия, и если сделал первое, то второе уже не имеет смысла. Или не так?
При достаточном количестве глаз, все ошибки лежат на поверхности.

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #26 : 22 Января 2010, 09:35:40 »
Угу, одна и та же бадяга. Только через sysctl.conf более элегантнее...

Оффлайн tdm

  • Любитель
  • *
  • Сообщений: 89
  • Ubuntu Server
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #27 : 22 Января 2010, 11:03:36 »
продолжу свои рассуждения, дабы убедится, что я всё правильно понимаю:

чтобы отключить форвардинг, то в первом случае придется обратно закоментировать строчку net.ipv4.ip_forward=1 , а во втором случае просто остановить скрипт командой типа "скрипт stop".

Правильно?
При достаточном количестве глаз, все ошибки лежат на поверхности.

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #28 : 22 Января 2010, 11:16:30 »
чтобы отключить форвардинг, то в первом случае придется обратно закоментировать строчку net.ipv4.ip_forward=1
и еще sudo invoke-rc.d procps restart, для того, чтоб изменения вступили в силу. Причем, если просто закомментировать, то эта переменная не будет переинициализирована, и будет находится в предыдущем состоянии. Тогда нужно еще либо sudo sysctl net.ipv4.ip_forward=0 сделать или не комментировать в sysctl.conf, а установить значение = 0.
а во втором случае просто остановить скрипт командой типа "скрипт stop".
Скрипт-инициализатор и скрипт-демон разные вещи. Всё зависит от того, каким образом скрипт отрабатывает параметр stop.
« Последнее редактирование: 22 Января 2010, 11:19:58 от Mam(O)n »

Оффлайн tdm

  • Любитель
  • *
  • Сообщений: 89
  • Ubuntu Server
    • Просмотр профиля
Re: iptables и автоматическая загрузка
« Ответ #29 : 22 Января 2010, 12:03:50 »

и еще sudo invoke-rc.d procps restart

за это спасибо, не знал и приходилось перезагружать комп каждый раз, чтобы включить/выключить форвардинг. А после ребута выполнял

cat /proc/sys/net/ipv4/ip_forward  , чтобы проверить состояние форвардинга и если ответ равен 1, то значит он включен.

Mam(O)n, большое спасибо, за ответы. Если можно, то помогите разобраться со скриптами. В данный момент настраиваю роутер на Ubuntu Server 9.10. Порядок такой: Включаю форвардинг элегантным способом ;) а затем в консоли набиваю правила и роутер начинает работать, но после ребута всё отваливается. Почитал не мало инфы про скрипты для автозапуска правил, кое-что уже опробовал, но пока не получается. Вы можете подсказать правильный способ? Спасибо.

PS: правильный - это: не костыль, рабочий, понятный.
При достаточном количестве глаз, все ошибки лежат на поверхности.

 

Страница сгенерирована за 0.031 секунд. Запросов: 23.