Автозагрузка правил iptables (Lazymode)

[Malamut]

Опять же - по поводу сохранения - это вопрос крайне спорный и чисто субъективный - кому как удобней. Best practice в этом вопросе нет и быть не может, всё зависит от связки админ-специфика сервера. Остальное аргументировал в посте выше: не стоит забывать, что этот форум в первую очередь для новичков, и надо немного головой думать в этом контексте. Мне очень жаль новичка, который начнёт своё знакомство с сохранением правил iptables с этой инструкции. Уж лучше rc.local, хотя бы стандарт запуска пользовательских действий при загрузке.

[AnrDaemon]

Ну, если уж на то пошло, я предпочитаю вообще не пользоваться связкой iptables-save - iptables-restore, поскольку когда в системе много правил, то вывод iptables-save просто нечитаем.

Либо не умеешь писать правила так, чтобы они были читаемыми, либо не умеешь читать.
Мне всегда проще просмотреть полный дамп правил, пусть их там больше сотни, чем по замудренному скрипту гадать, будет ли он работать вообще, и если да - где ошибка.

Я просто пишу свой скрипт, который вешаю на поднятие интерфейса, а в него - вручную правила с нужными комментариями. Но в контексте оперирования с iptables-save/restore использование каталогов if-up.d и if-down.d кажется гораздо более запутанным.

Тебе кажется. Мне нет. (Креститься не будем?)

И в прикреплённой теме в разделе сети, которую конечно читает куча новичков, писать такое, не упоминая про классический прозрачный способ - это немного не айс.

Прости, ты сказал, что ты пробовал и у тебя не получилось.
Предполагая, что ты всё сделал по инструкции, я делаю вывод, что у меня в инструкции ошибка. Если ты опишешь свою последовательность действий, и укажешь, где именно у тебя пошли проблемы, я, наверное, смогу внести необходимые исправления?

Я не против, что моё исправление AnrDaemon отредактирует, если он таки оставит в начале топика простой способ, а потом уже перейдёт к описанию своих махинаций.

Я не вижу никаких "махинаций" в инструкции из трёх простых шагов.
Может, объяснишь свою позицию для меня? Да и для других, думаю, профессиональное мнение, изложенное не лексиконом Эллочки-людоедочки, а нормальным русским языком будет интересным.

[Malamut]

Извини, во-первых далеко не три. Во-вторых, вот это:

Код: [Выделить]

echo -e "#! /sbin/iptables-restore
 `iptables-save`" > /etc/network/if-up.d/iptables-rules
далеко не простой шаг. Откуда, блин, нормальный пользователь знает что:

1. echo -e заставляет
 интерпретироваться как перенос строки (ок, это можно почитать в мане и в принципе факт не сложный)
2. Указание в качестве интерпретатора для исполнения команды /sbin/iptables-restore с помощью #! заставит bash скормить содержимое этой самой команде (это оочень нетривиально)
3. Ну и наконец что подстановка вывода с помощью `` (о которой тоже надо знать) работает внутри "" - большинство не-гуру bash об этом могут даже не подумать, хотя читать скрипты умеют.

В итоге - шаманство, вместо совершенно прозрачной команды

Код: [Выделить]

iptables-restore -c < /etc/network/firewall.conf
Мне пришлось включать мозг, чтобы не выполняя реально инструкцию понять, что она делает. Новичку же придётся несладко. А плодить болванчиков, которые выполняют инструкции, не понимая, что они делают, я лично не хочу и всячески буду пресекать потуги к таким действиям.

Почему не работает? Потому что не сохраняет правила и нигде толком не сказано, что это надо делать вручную.Я пока не начал разбираться в командах прочитал текст - и был в полной уверенности, что оно таки сохранится автоматом. Особенно после этого:

Редактировать правила можно двумя способами:
1. Внося изменения в активные таблицы любым удобным Вам способом (из командной строки либо пользуясь удобным Вам междумордием).
....
В обоих случаях, запустите скрипт iptsave.sh после того, как вы добились желаемого эффекта.
Это создаст резервную копию вашего файла.

Не, я люблю шаманство. Я не люблю, когда шаманство выдают новичкам в качестве инструкции к исполнению, не объясняя, как шаманство работает, и не упоминая, что есть простые способы шаманства избежать.
Пользователь решил продолжить мысль 21 Января 2011, 00:06:04:Так что будь добр, оставь нормальный (ок, скажем так: общепринятый классический) способ в начале статьи, чтобы не пугать общественность. А мой немного жёсткий текст можешь заменить своим по вкусу.
Пользователь решил продолжить мысль 21 Января 2011, 00:09:01:А, и по поводу:

Либо не умеешь писать правила так, чтобы они были читаемыми, либо не умеешь читать.

Я умею и писать, и читать. Я не умею догадываться, нафига то или иное правило добавлено на тот или иной роутер в сети.

[AnrDaemon]

В твоей совершенно прозрачной команде "-c" и "<" совершенно лишние.
Редактировать не буду, просто уберу. Если ты редактируешь чужой пост - будь добр редактировать его от своего имени.

[Malamut]

-с - возможно, пережиток непойми чего, сейчас вроде iptables-save и restore статистику по пакетам сохраняют по умолчанию, а man просто не поменяли. Без < просто не заработает. И остальные аргументы, как посмотрю, таки остались без ответа Задолбало меня спорить ни о чём. Я в общем написал что к чему, и вроде свою позицию по данному вопросу озвучил совершенно чётко. Не я прикреплял эту тему, но поскольку она прикреплена, то содержание должно быть качественным, то есть понятным и пригодным для новичков. Соответственно либо сначала общепринятый метод, а потом возня со скриптами, либо просто откреплю тему.

[censor]

(Нажмите, чтобы показать/скрыть)

Извини, во-первых далеко не три. Во-вторых, вот это:

Код: [Выделить]

echo -e "#! /sbin/iptables-restore
 `iptables-save`" > /etc/network/if-up.d/iptables-rules
далеко не простой шаг. Откуда, блин, нормальный пользователь знает что:

1. echo -e заставляет
 интерпретироваться как перенос строки (ок, это можно почитать в мане и в принципе факт не сложный)
2. Указание в качестве интерпретатора для исполнения команды /sbin/iptables-restore с помощью #! заставит bash скормить содержимое этой самой команде (это оочень нетривиально)
3. Ну и наконец что подстановка вывода с помощью `` (о которой тоже надо знать) работает внутри "" - большинство не-гуру bash об этом могут даже не подумать, хотя читать скрипты умеют.

В итоге - шаманство, вместо совершенно прозрачной команды

Код: [Выделить]

iptables-restore -c < /etc/network/firewall.conf
Мне пришлось включать мозг, чтобы не выполняя реально инструкцию понять, что она делает. Новичку же придётся несладко. А плодить болванчиков, которые выполняют инструкции, не понимая, что они делают, я лично не хочу и всячески буду пресекать потуги к таким действиям.

Почему не работает? Потому что не сохраняет правила и нигде толком не сказано, что это надо делать вручную.Я пока не начал разбираться в командах прочитал текст - и был в полной уверенности, что оно таки сохранится автоматом. Особенно после этого:

Редактировать правила можно двумя способами:
1. Внося изменения в активные таблицы любым удобным Вам способом (из командной строки либо пользуясь удобным Вам междумордием).
....
В обоих случаях, запустите скрипт iptsave.sh после того, как вы добились желаемого эффекта.
Это создаст резервную копию вашего файла.

Не, я люблю шаманство. Я не люблю, когда шаманство выдают новичкам в качестве инструкции к исполнению, не объясняя, как шаманство работает, и не упоминая, что есть простые способы шаманства избежать.
Пользователь решил продолжить мысль 21 Января 2011, 00:06:04:Так что будь добр, оставь нормальный (ок, скажем так: общепринятый классический) способ в начале статьи, чтобы не пугать общественность. А мой немного жёсткий текст можешь заменить своим по вкусу.
Пользователь решил продолжить мысль 21 Января 2011, 00:09:01:А, и по поводу:

Либо не умеешь писать правила так, чтобы они были читаемыми, либо не умеешь читать.

Я умею и писать, и читать. Я не умею догадываться, нафига то или иное правило добавлено на тот или иной роутер в сети.

Откуда, блин, нормальный пользователь знает что: - а зачем нормальному пользователю лезть в консоль? не проще ли нормальному пользователю поставить графическую тулзу?
Мне пришлось включать мозг - пожалуй стоит оставить без комментария иначе боюсь забанят. мозг должен работать всегда (за исключением сна)
Новичку же придётся несладко - а на что новичок рассчитывает залезая в консоль и тем более в iptables?
Не, я люблю шаманство - на вкус и цвет все фломастеры разные, способ приведенный в данной теме мне нравится больше чем то что Вы предложили.

[Malamut]

censor,
Субъективно. Одни и те же команды, только в стандартном применении они используются напрямую, а в этом предложенном - завёрнуты в странные скрипты. Нужно создавать скрипт сохранения, для восстановления - нужно всё равно вызывать скрипт по полному пути. Не проще ли использовать две стандартные команды? Если лень писать - можно добавить алиасы ip-save ip-restore. Суть в том, что команды всё равно 2, но в нормальном способе они стандартны, а в этом - нет. Файл с правилами всё равно один. Но для этого способа ещё нужен доп. скрипт сохранения. Короче технически результат и используемые для его достижения утилиты идентичны. И вы меня никогда не убедите, что доп. скрипты в нестандартных местах - это проще, удобней и понятней, чем две стандартные команды. Я бы ещё понял, если бы надо было вводить несколько команд для сохранения, или одну длинную. Так ведь нет, всё уже есть - утилиты iptables-save и iptables-restore. Не нужно ничего дополнительного придумывать. В итоге всё описанное в первом посте - классически вредный совет для новичков. Кому-то это может и удобно, но менее вредной инструкция от этого не становится.

[AnrDaemon]

Прежде чем говорить "не заработает" стоит попробовать.
А то сел в лужу - и сидишь, улыбаешься...

Создание скрипта загрузки поправил, учтя твои предложения.

(Нажмите, чтобы показать/скрыть)

А по поводу "объяснять, что #! указывает" - ты тоже каждый раз объясняешь в своих инструкциях, что "#! /bin/sh" заставит скрипт выполняться через стандартный шелл?
Надо всё таки знать меру, для подобных вещей есть инструкции типа "оболочка командной строки UNIX, креш-курс для начинающих линуксоидов"

Пользователь решил продолжить мысль 22 Января 2011, 01:52:57:

Одни и те же команды, только в стандартном применении они используются напрямую, а в этом предложенном - завёрнуты в странные скрипты.

Кто может сказать, какое применение стандартно?...

Нужно создавать скрипт сохранения

Я редактирую правила напрямую.

для восстановления - нужно всё равно вызывать скрипт по полному пути.

sudo service networking restart

Не проще ли использовать две стандартные команды?

Я использую одну. Стандартную. Стандартным образом... (Именно, описанным в документации.)
Вторую использую один раз для создания начальной конфигурации. Мне хватает.

Если лень писать - можно добавить алиасы ip-save ip-restore.

Зачем вообще писать? bash-completion отменили? (При том, что я ни одной из этих команд не ввожу, разве что надо визуально убедиться в наличии загруженных правил...)

Суть в том, что команды всё равно 2, но в нормальном способе они стандартны, а в этом - нет.

Ты всё время оперируешь словами "нормальный" и "стандартный", при этом, похоже, не понимая их значения.
Если с "ненормальностью" моего способа я могу с некоторой натяжкой согласиться (поскольку "норма" - общепринятый способ делать что-либо), то запуск скриптов по событию поднятия интерфейсов - это СТАНДАРТНАЯ возможность операционной системы, так же как загрузка правил командой iptables-restore из файла, указанного первым параметром в командной строке.

Файл с правилами всё равно один. Но для этого способа ещё нужен доп. скрипт сохранения.

Не-а... НЕ нужен. Редактируй прявила прямо в скрипте, если надо.

[Viktor1802]

А я скажу следующее: Большое спасибо автору за информацию. Мне очень помогло это описание автоподнятия правил. Работает на сервере несколько месяцев.

[_set_]

Такая ситуация: на vmware есть сервер 2.6.35-22-server, там же 2 клиента Ubuntu и XP. Есть простенький скрипт iptables, немного переделаный из туториала

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
# rc.firewall - Initial SIMPLE IP Firewall script for Linux 2.4.x and iptables
#
# Copyright (C) 2001  Oskar Andreasson <bluefluxATkoffeinDOTnet>
#

###########################################################################
#
# 1. Configuration options.
#

#
# 1.1 Internet Configuration.
#

INET_IP="192.168.0.10"
INET_IFACE="eth0"
INET_BROADCAST="194.168.0.255"

#
# 1.1.1 DHCP
#

#
# 1.1.2 PPPoE
#

#
# 1.2 Local Area Network configuration.
#
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP address. the same as netmask 255.255.255.0
#

LAN_IP="192.168.1.10"
LAN_IP_RANGE="192.168.1.0/24"
LAN_IFACE="eth1"

#
# 1.3 DMZ Configuration.
#

#
# 1.4 Localhost Configuration.
#

LO_IFACE="lo"
LO_IP="127.0.0.1"

#
# 1.5 IPTables Configuration.
#

IPTABLES="/sbin/iptables"

#
# Удаление всех правил во всех таблицах.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# Удаление пользовательских правил во всех таблицах.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#
# 1.6 Other Configuration.
#

###########################################################################
#
# 2. Module loading.
#

#
# Needed to initially load modules
#

/sbin/depmod -a

#
# 2.1 Required modules
#

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

#
# 2.2 Non-Required modules
#

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

###########################################################################
#
# 3. /proc set up.
#

#
# 3.1 Required proc configuration
#

echo "1" > /proc/sys/net/ipv4/ip_forward

#
# 3.2 Non-Required proc configuration
#

#echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

###########################################################################
#
# 4. rules set up.
#

######
# 4.1 Filter table
#

#
# 4.1.1 Set policies
#

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# 4.1.2 Create userspecified chains
#

#
# Create chain for bad tcp packets
#

$IPTABLES -N bad_tcp_packets

#
# Create separate chains for ICMP, TCP and UDP to traverse
#

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#
# 4.1.3 Create content in userspecified chains
#

#
# bad_tcp_packets chain
#

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#
# allowed chain
#

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

#
# TCP rules
#

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#
# UDP ports
#

#$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
#$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

#
# In Microsoft Networks you will be swamped by broadcasts. These lines
# will prevent them from showing up in the logs.
#

#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP

#
# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.
#

#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP

#
# ICMP rules
#

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#
# 4.1.4 INPUT chain
#

#
# Bad TCP packets we don't want.
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Rules for special networks not part of the Internet
#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

#
# Special rule for DHCP requests from LAN, which are not caught properly
# otherwise.
#

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

#
# Rules for incoming packets from the internet.
#

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#
# If you have a Microsoft Network on the outside of your firewall, you may
# also get flooded by Multicasts. We drop them so we do not get flooded by
# logs
#

#$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Log weird packets that don't match the above.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

#
# 4.1.5 FORWARD chain
#

#
# Bad TCP packets we don't want
#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 OUTPUT chain
#

#
# Bad TCP packets we don't want.
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#
# Special OUTPUT rules to decide which IP's to allow.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 nat table
#

#
# 4.2.1 Set policies
#

#
# 4.2.2 Create user specified chains
#

#
# 4.2.3 Create content in user specified chains
#

#
# 4.2.4 PREROUTING chain
#

#
# 4.2.5 POSTROUTING chain
#

#
# Enable simple IP Forwarding and Network Address Translation
#

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

#
# 4.2.6 OUTPUT chain
#

######
# 4.3 mangle table
#

#
# 4.3.1 Set policies
#

#
# 4.3.2 Create user specified chains
#

#
# 4.3.3 Create content in user specified chains
#

#
# 4.3.4 PREROUTING chain
#

#
# 4.3.5 INPUT chain
#

#
# 4.3.6 FORWARD chain
#

#
# 4.3.7 OUTPUT chain
#

#
# 4.3.8 POSTROUTING chain
#

Делал все как в первом посте, команды копировал, ошибок не выдавало, всё вроде бы работает вот сохранённая версия:

(Нажмите, чтобы показать/скрыть)

#! /sbin/iptables-restore
# Generated by iptables-save v1.4.4 on Tue May 10 17:34:13 2011
*filter
:INPUT DROP [4:926]
:FORWARD ACCEPT [1320:475941]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 127.0.0.0/8 -i lo -j ACCEPT
-A INPUT -s 192.168.1.10/32 -i lo -j ACCEPT
-A INPUT -s 192.168.0.10/32 -i lo -j ACCEPT
-A INPUT -d 192.168.1.10/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -d 192.168.0.10/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.0/8 -j ACCEPT
-A OUTPUT -s 192.168.1.10/32 -j ACCEPT
-A OUTPUT -s 192.168.0.10/32 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth1 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 67:68 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth1 -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed on Tue May 10 17:34:13 2011
# Generated by iptables-save v1.4.4 on Tue May 10 17:34:13 2011
*nat
:PREROUTING ACCEPT [200:13246]
:OUTPUT ACCEPT [1:71]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10
# Completed on Tue May 10 17:34:13 2011
# Generated by iptables-save v1.4.4 on Tue May 10 17:34:13 2011
*mangle
:PREROUTING ACCEPT [2770:626113]
:INPUT ACCEPT [1888:200611]
:FORWARD ACCEPT [1320:475941]
:OUTPUT ACCEPT [1080:275962]
:POSTROUTING ACCEPT [2741:816144]
COMMIT
# Completed on Tue May 10 17:34:13 2011

Но после перезагрузки сервера нет интернета на клиентских машинах, если вручную запустить иначальный скрипт всё снова работает. В чём может быть дело?

Код: [Выделить]

pre-up iptables-restore -c < /etc/network/firewall.conf
pre-down iptables-save -c > /etc/network/firewall.conf

После этого файл оказался нечетабельным и интерфейсы вообще не поднялись

[flant]

я использую iptables-restore из любого файла

[_set_]

я использую iptables-restore из любого файла

Не понял.

[AnrDaemon]

Такая ситуация: на vmware есть сервер 2.6.35-22-server, там же 2 клиента Ubuntu и XP. Есть простенький скрипт iptables, немного переделаный из туториала

Я понятия не имею, из какого туториала "переделан" этот скрипт, и совершенно не горю желанием выступать в роли онлайн-интепретатора, выясняя, будет ли он вообще работать, и если да, то что получится в итоге.
Если вы про скрипт, предложенный в топике "iptables для новичков", то я был изначально против его разработки - такого монстра новичку осилить не под силу, и задачи решаются в получающейся конфигурации отнюдь не детские.
Это не значит, что скрипт сам по себе плох - отнюдь, просто он непригоден в качестве обучающего материала. Вот топик, который привёл этот скрипт к окончательному виду, может служить таким материалом.

Делал все как в первом посте, команды копировал, ошибок не выдавало, всё вроде бы работает вот сохранённая версия:

(Нажмите, чтобы показать/скрыть)

#! /sbin/iptables-restore
# Generated by iptables-save v1.4.4 on Fri May  6 13:51:35 2011
*filter
:INPUT DROP [834:34626]
:FORWARD ACCEPT [13284:7030431]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 127.0.0.0/8 -i lo -j ACCEPT
-A INPUT -s 192.168.1.10/32 -i lo -j ACCEPT
-A INPUT -s 192.168.0.10/32 -i lo -j ACCEPT
-A INPUT -d 192.168.1.10/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -d 192.168.0.10/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.0/8 -j ACCEPT
-A OUTPUT -s 192.168.1.10/32 -j ACCEPT
-A OUTPUT -s 192.168.0.10/32 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth1 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 67:68 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth1 -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed on Fri May  6 13:51:35 2011
# Generated by iptables-save v1.4.4 on Fri May  6 13:51:35 2011
*nat
:PREROUTING ACCEPT [313:24582]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10
COMMIT
# Completed on Fri May  6 13:51:35 2011
# Generated by iptables-save v1.4.4 on Fri May  6 13:51:35 2011
*mangle
:PREROUTING ACCEPT [14700:7111859]
:INPUT ACCEPT [2011:106062]
:FORWARD ACCEPT [13290:7034469]
:OUTPUT ACCEPT [381:216816]
:POSTROUTING ACCEPT [13721:7253806]
COMMIT
# Completed on Fri May  6 13:51:35 2011

Но после перезагрузки сервера нет интернета на клиентских машинах, если вручную запустить иначальный скрипт всё снова работает. В чём может быть дело?

Поймите, настройка брандмауэра запуском iptables из скрипта и загрузка конфигурации через iptables-save/restore это два ПРИНЦИПИАЛЬНО различных подхода к выполнению задачи.
Оба дают необходимый (и идентичный) результат, но средства используют разные.
Если после запуска начального скрипта, как вы говорите, у вас появляется интернет, проделайте ещё раз шаги с первого по четвёртый и перезагрузитесь.
Если(!) после перезагрузки у вас интернета не будет - сделайте Шаг #1 и сравните вывод с тем, что у вас находится в файле /etc/network/if-up.d/iptables-rules

Код: [Выделить]

pre-up iptables-restore -c < /etc/network/firewall.conf
pre-down iptables-save -c > /etc/network/firewall.conf

После этого файл оказался нечетабельным и интерфейсы вообще не поднялись

Не знаю, какой файл вы имели в виду, но мы уже раньше обсуждали этот момент (не помню, в каком топике) - автоматическая перезапись конфигурационных файлов - верный путь к самоубийству системы. (Как в каждом правиле, в этом тоже встречаются исключения, но "это не наш случай".)
Лишь ещё раз замечу, что для правильной подгрузки правил через if-up.d в interfaces не должно быть ничего, кроме собственно настройки интерфейсов.

[_set_]

Имелся в виду скрипт rc.firewall из туторила для iptables 1.1.19 на оупэннэт.ру.

Если после запуска начального скрипта, как вы говорите, у вас появляется интернет, проделайте ещё раз шаги с первого по четвёртый и перезагрузитесь.
Если(!) после перезагрузки у вас интернета не будет - сделайте Шаг #1 и сравните вывод с тем, что у вас находится в файле /etc/network/if-up.d/iptables-rules

Сами правила из файла /etc/network/if-up.d/iptables-rules и вывода iptables-save сопадают. Отличия есть в порядке вывода таблиц, т.е. в сохраненном файле идет: mangle, nat, filter, а в выводе команды filter, nat,, mangle и датах генерации.

[AnrDaemon]

grep ip_forward /etc/sysctl.conf
Ы?