Вопрос по маршрутизации и биллингу.

[G-Dogg]

Можно и так и так. Я делаю это через iptables.
Т.е. например создаю цепочку https_users в которой

Код: [Выделить]

$IPTABLES -A https_users -s $USER1_IP -p tcp --dport $https -j RETURN
$IPTABLES -A https_users -s 0/0 -p tcp --dport $https -j DROP
А в таблице INPUT я бросаю все пакеты из локалки, идущие на 443-й порт в цепочку https_users и все =).

долго мне не до шлюзов было. )) Т.е. это правило разрешает ТОЛЬКО USER1_IP ходить по 443 порту, остальных в топку?

[MadKox]

Ну да... только бросать в эту цепочку пакеты нужно в правильный момент, т.е. до того, как им какое-нибудь другое правило сделало ACCEPT.

[G-Dogg]

а ты не мог бы в контексте показать?

[MadKox]

Вот кусок из реально использующегося конфига:

(Нажмите, чтобы показать/скрыть)

#! /bin/sh
#
##############
# Переменные.#
##############
...
#########
# Порты.#
#########

# https
https="443"

# squid
squid="3128"

# mail - smtp
mail_smtp="25"

# mail - pop
mail_pop="110"

############################
# Адреса почты, ФТП.#
############################
....

# Банки.
....

####################################
# Пользователи локалки и их адреса.#
####################################

User1_IP="192.168.0.1"
User1_MAC="00:00:00:00:00:01"
....
UserN_IP="192.168.0.254"
UserN_MAC="00:00:00:00:02:02"

#######################################
# Iptables. Предварительная настройка.#
#######################################

# Путь до iptables
IPT="/sbin/iptables"

# Очистка
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Подгрузка модулей

/sbin/depmod -a
#/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
#/sbin/modprobe iptable_filter
#/sbin/modprobe iptable_mangle
#/sbin/modprobe iptable_nat
#/sbin/modprobe ipt_LOG
#/sbin/modprobe ipt_limit
#/sbin/modprobe ipt_state
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

####################
# Настройка правил.#
####################

##################
# Таблица filter.#
##################

# Политики по-умолчанию.
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

####################
# Создание цепочек.#
####################

$IPT -N bad_tcp_p
$IPT -N allowed
$IPT -N tcp_p
$IPT -N udp_p
$IPT -N icmp_p
$IPT -N check_ip_mac
$IPT -N traffic
$IPT -N secured

####################
# Цепочка bad_tcp_p#
####################

# Отфильтровываются все пакеты, которые распознаются как NEW, но не
# являются SYN пакетами, а также обрабатываются SYN/ACK пакеты,
# имеющие статус NEW.
# Эта цепочка может быть использована для защиты от вторжения
# и сканирования портов.
$IPT -A bad_tcp_p -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A bad_tcp_p -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPT -A bad_tcp_p -p tcp ! --syn -m state --state NEW -j DROP

##################
# Цепочка allowed#
##################

# Дополнительная проверка.
# По задумке цепочка вызывается из цепочки tcp_packets, на прошедшие
# проверку пакеты.

# Проверяем, является ли пакет SYN пакетом, т.е. запросом на соединение.
$IPT -A allowed -p TCP --syn -j ACCEPT
# Пропускаем все пакеты с признаком ESTABLISHED и RELATED.
$IPT -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# Сбрасываем все остальные пакеты.
$IPT -A allowed -p TCP -j DROP

#################
# Цепочка tcp_p #
#################

# Правила для TCP.
# Указывается, какие порты могут быть доступны из интернет.
# Несмотря на то, что пакет прошел проверку здесь, мы
# все равно все пакеты передаем в цепочку alowed.

$IPT -A tcp_p -p TCP -s 0/0 -j DROP

#################
# Цепочка udp_p #
#################

$IPT -A udp_p -p UDP -s 0/0 -j DROP

##################
# Цепочка icmp_p #
##################

$IPT -A icmp_p -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPT -A icmp_p -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPT -A icmp_p -p ICMP -s 0/0 -j DROP

########################
# Цепочка check_ip_mac #
########################

# Верификация IP адресов клиентов.

$IPT -A check_ip_mac -p ALL -s $User1_IP -m mac --mac-source $User1_MAC -j RETURN
....
$IPT -A check_ip_mac -p ALL -s $UserN_IP -m mac --mac-source $UserN_MAC -j RETURN

$IPT -A check_ip_mac -p ALL -s 0/0 -j DROP

###################
# Цепочка traffic #
###################

# Цепочка для подсчета трафика.

$IPT -A traffic -p ALL -j RETURN

###################
# Цепочка secured #
###################

# Цепочка для распределения HTTPS трафика.

$IPT -A secured -s $User1_IP -p tcp --dport $https -j RETURN
...
$IPT -A secured -s $User10_IP -p tcp --dport $https -j RETURN

$IPT -A secured -p tcp --dport $https -j DROP

#################
# Цепочка INPUT #
#################

# Фильтруем "плохие пакеты" через цепочку bad_tcp_p.
$IPT -A INPUT -p tcp -j bad_tcp_p

############
# Из инета #
############

# Принимаем ответы.
$IPT -A INPUT -i $Inet_Iface -p ALL -m state --state ESTABLISHED,RELATED -j traffic
$IPT -A INPUT -i $Inet_Iface -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

# Рулим tcp.
$IPT -A INPUT -i $Inet_Iface -p TCP -j traffic
$IPT -A INPUT -i $Inet_Iface -p TCP -j tcp_p

# Рулим udp.
$IPT -A INPUT -i $Inet_Iface -p UDP -j traffic
$IPT -A INPUT -i $Inet_Iface -p UDP -j udp_p

# Рулим icmp.
$IPT -A INPUT -i $Inet_Iface -p ICMP -j traffic
$IPT -A INPUT -i $Inet_Iface -p ICMP -j icmp_p

##############
# Из локалки #
##############

# Пробиваем на MAC адрес.
$IPT -A INPUT -p ALL -i $Lan_Iface -j check_ip_mac

# Все пропускаем.
$IPT -A INPUT -p ALL -i $Lan_Iface -j ACCEPT

############
# Из петли #
############

# Все пропускаем.
$IPT -A INPUT -p ALL -i $Lo_Iface -j ACCEPT

###################
# Цепочка FORWARD #
###################

# Фильтруем "плохие пакеты" через цепочку bad_tcp_p.
$IPT -A FORWARD -p tcp -j bad_tcp_p

############
# Из инета #
############

# Принимаем ответы к клиентам
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j traffic
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

##############
# Из локалки #
##############

# Пробиваем на MAC адрес.
$IPT -A FORWARD -p ALL -i $Lan_Iface -j check_ip_mac

# Пропускаем почту.
$IPT -A FORWARD -i $Lan_Iface -d $mail_ip -p tcp --dport $mail_smtp -j ACCEPT
$IPT -A FORWARD -i $Lan_Iface -d $mail_ip -p tcp --dport $mail_pop -j ACCEPT

# Пропускаем на FTP
$IPT -A FORWARD -i $Lan_Iface -d $ftp_ip -j ACCEPT

# Пропускаем Банк-клиенты.
$IPT -A FORWARD -i $Lan_Iface -d $Bank_1 -j ACCEPT
$IPT -A FORWARD -i $Lan_Iface -d $Bank_2 -j ACCEPT

=====================================
  ===================================
     ================================
        ============================
          ==========================
             =======================
               =====================
                  ==================
                     ===============
                        ============
                          ==========
                            ========
                               =====
                                 ===
                                   =
# Проверяем, если это https запрос - можно ли пользователю.
$IPT -A FORWARD -p ALL -i $Lan_Iface -j secured






# Все остальное тоже пропускаем, но в таблице nat это будет отдельно заворачиваться на squid.
$IPT -A FORWARD -p ALL -i $Lan_Iface -j ACCEPT

##################
# Цепочка OUTPUT #
##################

# Фильтруем "плохие пакеты" через цепочку bad_tcp_p
$IPT -A OUTPUT -p tcp -j bad_tcp_p

$IPT -A OUTPUT -p ALL -j ACCEPT

##################
# Таблица nat.#
##################

######################
# Цепочка PREROUTING #
######################

# Принимаем те пакеты, которые всегда разрешены и идут
# мимо сквида до того, как они уйдут в сквид.

# Пропускаем почту.
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $mail_ip -j ACCEPT

# Пропускаем на FTP
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $ftp_ip -j ACCEPT

# Пропускаем на шлюз.
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $Lan_IP -j ACCEPT

# Пропускаем Банк-клиенты.
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $Bank_1 -j ACCEPT
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $Bank_2 -j ACCEPT

# Пропускаем https.
$IPT -t nat -A PREROUTING -i $Lan_Iface -p tcp --dport $https -j ACCEPT

# Перенаправляем пакеты на сквид.
$IPT -t nat -A PREROUTING -i $Lan_Iface -p tcp -j REDIRECT --to-ports $squid

#######################
# Цепочка POSTROUTING #
#######################

# Включаем простой IP форвардинг и преобразование сетевых адресов.
$IPT -t nat -A POSTROUTING -o $Inet_Iface -j SNAT --to-source $Inet_IP

#####################################
# Включение перенаправления пакетов #
#####################################

echo "1" > /proc/sys/net/ipv4/ip_forward

exit 0

[G-Dogg]

Код: [Выделить]

###################
# Цепочка secured #
###################

# Цепочка для распределения HTTPS трафика.

$IPT -A secured -s $User1_IP -p tcp --dport $https -j RETURN
...
$IPT -A secured -s $User10_IP -p tcp --dport $https -j RETURN

$IPT -A secured -p tcp --dport $https -j DROPвот этим я могу по каждому IP "выдать" доступные порты?

[MadKox]

Нет, этим можно ограничить доступ пользователей User11...UserN к 443 порту 
При этом пользователям User1..User10 доступ к 443 порту разрешен.

Т.е. я бы делал так:
1. Создал бы по цепочке на каждый нужный порт (ну или на несколько).
2. В цепочке всем, кому разрешено делал бы -j RETURN
3. А всем остальным -j DROP
4. Бросал бы пакет в цепочке FORWARD по очереди во все созданные цепочки.

[G-Dogg]

блин! я понять никак не могу, уже голова болит хочу сделать таким образом - у меня порты 80, 443 и 5190 - разрешены основной массе, кому-то нужно дать вообще полный доступ,  а порт mailagent и ftp - только избранным. как написать - что-то не допру

[MadKox]

Ну вот, делаешь, например  цепочку icq_packets по аналогии с secured, в нее добавляешь по одному правилу на тех, кому можно юзать аську:

Код: [Выделить]

$IPT -A icq_packets -s $User_IP -p tcp --dport $icq -j RETURN
А последним правилом рубишь всех остальных:

Код: [Выделить]

$IPT -A icq_packets -p tcp --dport $icq -j DROP

После этого в цепочке FORWARD бросаешь все пакеты с этого порта в свою цепочку:

Код: [Выделить]

$IPT -A FORWARD -p tcp --dport $icq -i $Lan_Iface -j icq_packets

Затем (последним правилом в цепочке FORWARD, таблицы filter) принимаешь все пакеты (т.е. те, что до сих пор не сбросились предыдущими правилами):

Код: [Выделить]

$IPT -A FORWARD -p ALL -i $Lan_Iface -j ACCEPT
И перехватываешь у squid'а трафик через асечный порт в цепочке PREROUTING таблицы nat:

Код: [Выделить]

$IPT -t nat -A PREROUTING -i $Lan_Iface -p tcp --dport $icq -j ACCEPT

И так для каждого порта.

Если тебе не нужно разделять доступ, например всем кому можно аську, можно еще и https - то можно это обрулить одной цепочкой и критерием multiport:

Код: [Выделить]

$IPT -A icq_packets -s $User_IP -p tcp  -m multiport --destination-port $icq,$https -j RETURN
Если доступ нужно более запрещать, чем разрешать, например из 100 пользователей аськой нельзя пользоваться 3-м, то разумнее построить цепочку icq_packets наоборот:

Код: [Выделить]

$IPT -A icq_packets -s $User1_IP -p tcp --dport $icq -j DROP
$IPT -A icq_packets -s $User2_IP -p tcp --dport $icq -j DROP
$IPT -A icq_packets -s $User3_IP -p tcp --dport $icq -j DROP
$IPT -A icq_packets -p tcp --dport $icq -j ACCEPT

Насчет тех, кому доступ нужен вообще до всего и мимо сквида... Это реально нужно?
Просто схема тут изложенная работает следующим образом:
1. http заворачивается на сквид и считается/рулится средствами сквида/сквидгарда/самса.
Это логично, т.к. у меня, к примеру, http трафик составляет 90% всего траффика.
2. Для нескольких специальных адресов (внешних, включая почту) - весь трафик пробрасывается мимо сквида.
3. https фильтруется и тоже пробрасывается мимо сквида.

Если все таки нужно часть пользователей пускать в обход сквида их нужно по одному "перепускать" в таблице nat аналогично внешним адресам:

Код: [Выделить]

######################
# Цепочка PREROUTING #
######################

# Принимаем те пакеты, которые всегда разрешены и идут
# мимо сквида до того, как они уйдут в сквид.

# Пропускаем почту.
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $mail_ip -j ACCEPT

# Пропускаем на FTP
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $ftp_ip -j ACCEPT

# Пропускаем на шлюз.
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $Lan_IP -j ACCEPT

# Пропускаем Банк-клиенты.
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $Bank_1 -j ACCEPT
$IPT -t nat -A PREROUTING -i $Lan_Iface -d $Bank_2 -j ACCEPT

# Пропускаем https.
$IPT -t nat -A PREROUTING -i $Lan_Iface -p tcp --dport $https -j ACCEPT

# Пропускаем пользователей
$IPT -t nat -A PREROUTING -i $Lan_Iface -s $User1_IP -j ACCEPT
...
$IPT -t nat -A PREROUTING -i $Lan_Iface -s $UserN_IP -j ACCEPT

# Перенаправляем пакеты на сквид.
$IPT -t nat -A PREROUTING -i $Lan_Iface -p tcp -j REDIRECT --to-ports $squid


[G-Dogg]

Спасибо огромное! Прояснилась ситуация теперь, буду пробовать! Позже выложу, что у меня получилось

[G-Dogg]

Посмотри, что получилось для 3х клиентов. Сквид я пока не хочу ставить - окочнательбно не разобрался в нем. И мне интересно где там рулится трафик по 80 порту - http, и можно ли всем выдать одним правилом порты 80, 443 и 5190, а избранным - еще 21 и мэйлагентовский (заб его, лень в сервреную идти смотреть )??
я зеленым выделил проблемные моменты, может еще где кто ошибки увидит

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

#
# 1. Конфигурация.
#
# Здесь задаются основные настройки брандмауэра, которые зависят от Вашей конфигурации сети.
#

############################################################################
# 1.1 Настройки интернет.
#
# INET_IP - Здесь должен быть указан реальный IP адрес, выданный провайдером услуг доступа в интернет.
# INET_IFACE - устройство, через которое осуществляется подключение к интернет.
# INET_BROADCAST - широковещательный адрес.
#

INET_IP="х.х.х.х"
INET_IFACE="eth0"
#INET_BROADCAST=""
############################################################################
# 1.2 Настройки локальной сети.
#
# Конфигурация локальной сети.
# LAN_IP - локальный IP адрес брандмауэра.
# LAN_IP_RANGE - широковещательный адрес + маска подсети.
# LAN_IFACE - интерфейс, подключенный к локальной сети.
#

LAN_IP="192.168.1.6"
LAN_IP_RANGE="192.168.1.0/24"
LAN_IFACE="eth1"



############################################################################
# 1.4 Локальный интерфейс "loopback".
#

LO_IFACE="lo"
LO_IP="127.0.0.1"

############################################################################

############################################################################

#
# 1.5 Путь к файлу iptables (обычно "/usr/sbin/iptables" или "/sbin/iptables").
#

IPTABLES="/sbin/iptables"

# Очистка всех правил в iptables

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#
# 1.6 Дополнительно.
#

# Описываем порты, которые нам могут пригодиться.

# Настраиваем систему таким образом, что
# 1.
# 2. Пакеты, идущие по защищенному соединению (https) мы пропускаем, но подсчитываем
# отдельно, не разбивая на пользователей.
# 3. Всех пользователей мы проверяем на предмет соответствия их IP адресов их MAC адресам.
# 4.
# 5. И наконец - считаем вообще весь трафик, проходящий через фаервол.


# Порт для HTTPS
HTTPS="443"

# порт http
PORT_HTTP="80"

# порт ftp
PORT_FTP="21"

# порт icq
PORT_ICQ="5190"

# Порт почты SMTP
MAIL_SMTP="25"

# Порт почты POP
MAIL_POP="110"

# Порт squid.
#SQUID="3128"

# Порт mailagent
MA_PORT="20xx"



# Пользователи.

# Пользователь №1

USER_IP_1="192.168.1.10"
USER_MAC_1="00:1a:4b:c6:bc:6e"

# Пользователь №2

USER_IP_2="192.168.1.11"
USER_MAC_2="00:0f:fe:41:4c:87"

# Пользователь №3

USER_IP_3="192.168.1.12"
USER_MAC_3="00:0f:fe:00:00:87"






############################################################################################
#
# 2. Загрузка модулей
#

#
# Проверка инициализации модулей
#

/sbin/depmod -a

#
# 2.1 Требуемые модули
#

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

#
# 2.2 Нетребуемые модули
#

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc



# 4. Настройка правил.
#

#
# 4.1 Таблица Filter
#

#
# 4.1.1 Политики по умолчанию
#

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# 4.1.2 Создание пользовательских цепочек
#

#
# Создание цепочки для "плохих" пакетов
#

$IPTABLES -N bad_tcp_packets

#
# Создание отдельных цепочек для различных протоколов
#

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#
# Создние цепочки, которая будет сверять IP и MAC адреса.
#

$IPTABLES -N verify


#
# Создание цепочек для подсчета трафика
#

# Для общего трафика

$IPTABLES -N trafficcount

# Для https

$IPTABLES -N secured

# для mail-агента

$IPTABLES -N magent

#для ICQ

$IPTABLES -N icq_chain


#
# 4.1.3 Содержимое пользовательских цепочек
#


#
# Цепочка bad_tcp_packets
#
# Отфильтровываются все пакеты, которые распознаются как NEW, но не
# являются SYN пакетами, а также обрабатываются SYN/ACK пакеты,
# имеющие статус NEW.
# Эта цепочка может быть использована для защиты от вторжения
# и сканирования портов.
#

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#
# Цепочка allowed
#
# Дополнительная проверка.
# По задумке цепочка вызывается из цепочки tcp_packets, на прошедшие
# проверку пакеты.

# Проверяем, является ли пакет SYN пакетом, т.е. запросом на соединение.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT

# Пропускаем все пакеты с признаком ESTABLISHED и RELATED.
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

# Сбрасываем все остальные пакеты.
$IPTABLES -A allowed -p TCP -j DROP

#
# Цепочка tcp_packets
#
# По идее рулит входящими tcp пакетами из инета.
# Но поскольку у нас нет никаких инет-сервисов в локалке
# мы просто перекидываем все пакеты в allowed.

$IPTABLES -A tcp_packets -j allowed

#
# Правила для UDP.
#

#
# В сетях Microsoft Вас может завалить бродкастами.
# Правило блокирует широковещательные пакеты, поступающие на порты
# со 135 по 139. Эти порты используются протоколами SMB и NetBIOS.
# Данное правило предотвращает переполнение таблицы трассировщика в
# сетях Microsoft.
#

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \
--destination-port 135:139 -j DROP

#
# Это правило блокирует DHCP запросы извне.
#

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
--destination-port 67:68 -j DROP


#
# Правила для ICMP.
# Тут проверяется тип ICMP сообщения. Пропускаются только
# ICMP Echo Request, TTL equals 0 during transit и
# TTL equals 0 during reassembly. Все остальные типы ICMP
# сообщений должны проходить и так, т.к. имеют состояние RELATED.
#
#

# Чтобы брандмауэр перестал откликаться на ping -
# закомментируйте эту строчку.
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT


$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#
# Цепочка верификации IP адреса и MAC адреса пользователя.
#

# Тут поочередно всех проверяем на соответствие - если кто-то себе подставил
# чужой IP - его тупа сбросит.


$IPTABLES -A verify -p ALL -s $USER_IP_1 -m mac --mac-source $USER_MAC_1 -j RETURN

$IPTABLES -A verify -p ALL -s $USER_IP_2 -m mac --mac-source $USER_MAC_2 -j RETURN

$IPTABLES -A verify -p ALL -s $USER_IP_3 -m mac --mac-source $USER_MAC_3 -j RETURN


# И напоследок - всем остальным - DROP
#$IPTABLES -A verify -p ALL -s $LAN_IP_RANGE -j DROP


#
# Цепочка для подсчета трафика.
#

$IPTABLES -A trafficcount -p ALL -j RETURN


#
# Цепочка  HTTPS трафика.
#

$IPTABLES -A secured -s $USER_IP_1 -p tcp --dport $HTTPS -j RETURN

$IPTABLES -A icq_packets -p tcp --dport $HTTPS -j DROP

#
# Цепочка  ICQ трафика.
#

$IPTABLES -A icq_chain -s $USER_IP_1 -p tcp --dport $PORT_ICQ -j RETURN

$IPTABLES -A icq_chain -s $USER_IP_2 -p tcp --dport $PORT_ICQ -j RETURN

$IPTABLES -A icq_chain -s $USER_IP_3 -p tcp --dport $PORT_ICQ -j RETURN

$IPTABLES -A icq_chain -p tcp --dport $PORT_ICQ -j DROP

#
# Цепочка  мэйл агента трафика.
#

$IPTABLES -A magent -s $USER_IP_2 -p tcp --dport $MA_PORT -j RETURN

$IPTABLES -A icq_chain -p tcp --dport $MA_PORT -j DROP

#
# 4.1.4 Цепочка INPUT.
#

#
# Фильтруем "плохие пакеты" через цепочку bad_tcp_packets.
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Правила для "своих" сетей, т.е. не для интернета.
#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT


#
# Правила для пакетов, приходящих их интернета.
#

# Это правило эквивалентно правилу, стоящему в цепочке alowed и в некоторой степени
# является избыточным, однако, оно несколько разгружает сетевой фильтр,
# поскольку значительная доля трафика пропускается этим правилом и не проходит
# всю последовательность до цепочки alowed.

# Каждое правило тут - сначала запускает пакет в цепочку подсчета трафика, затем обрабатывет далее

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j trafficcount
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT

# Отправляем tcp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets

# Отправляем udp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets

# Отправляем icmp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#
# Клиенты Microsoft Network имеют дурную привычку выдавать огромное количесво
# групповых пакетов в диапазоне адресов 224.0.0.0/8. Поэтому можно использовать данное
# правило для предотвращения засорения логов, в случае, если с внешней стороны
# имеется какая либо сеть Microsoft Network. Подобную же проблему решают два последних
# правила в цепочке udp_packets.
#

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "



# Пробиваем на MAC адрес.
$IPT -A INPUT -p ALL -i $LAN_IFACE -j verify


# Все пропускаем.
$IPT -A INPUT -p ALL -i $LAN_IFACE -j ACCEPT

############
# Из петли
############

# Все пропускаем.
$IPT -A INPUT -p ALL -i $Lo_Iface -j ACCEPT

#
# 4.1.5 Цепочка FORWARD.
#

# Фильтруем "плохие пакеты".

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# Пробиваем мак и айпи на соответствие.

#$IPTABLES -A FORWARD -p ALL -j verify



# Пропускаем ответные пакеты в локальную сеть.

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j trafficcount
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#отправляем трафик из внутренней сети в соответствующие цепочки

$IPT -A FORWARD -p ALL -i $Lan_Iface -j secured
$IPT -A FORWARD -p ALL -i $Lan_Iface -j icq_chain
$IPT -A FORWARD -p ALL -i $Lan_Iface -j magent

$IPT -A FORWARD -p ALL -i $Lan_Iface -j ACCEPT #вот это зачем надо??

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 Цепочка OUTPUT.
#

#
# Фильтруем "плохие пакеты".
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#
# Правила OUTPUT, определяющие, какие IP будут допущены.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 Таблица nat.
#

#
# 4.2.1 Задаем политики по умолчанию.
#

#
# 4.2.2 Создаем пользовательские цепочки.
#



#
# 4.2.3 Содежимое пользовательских цепочек.
#

#
# 4.2.4 Цепочка PREROUTING.
#

#
# 4.2.5 Цепочка POSTROUTING.
#

#
# Включаем простой IP форвардинг и преобразование сетевых адресов.
#

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP


################################################################
# Защита от Syn flood атаки

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#
# 5. Включение перенаправления пакетов
# Лучше делать это в конце, ибо к моменту включения форвардинга все
# правила уже заданы.

echo "1" > /proc/sys/net/ipv4/ip_forward




exit 0

[MadKox]

сразу нашел косяк:

Код: [Выделить]

$IPTABLES -A tcp_packets -j allowed
Это разрешает доступ ОТОВСЮДУ через tcp протокол. ИМХО - дыра. Надо так:

Код: [Выделить]

# Например "извне" к нам может подключаться по ssh определенный IP, назовем его SSH_allowed="x.x.x.x"
$IPTABLES -A tcp_packets -s $SSH_allowed --dport $ssh -j allowed
# А кроме него - никому подключаться низзя:
$IPTABLES -A tcp_packets -j DROP
Второе:

Код: [Выделить]

#$IPTABLES -A verify -p ALL -s $LAN_IP_RANGE -j DROP
Пока это не раскомментишь - на шлюз можно всем.

Код: [Выделить]

$IPT -A FORWARD -p ALL -i $Lan_Iface -j secured
$IPT -A FORWARD -p ALL -i $Lan_Iface -j icq_chain
$IPT -A FORWARD -p ALL -i $Lan_Iface -j magent

$IPT -A FORWARD -p ALL -i $Lan_Iface -j ACCEPT #вот это зачем надо??
Вот представь, пришел пакет. Сначала он чекается в цепочке secured и если он удовлетворяет ее критериям и тому, кто этот пакет послал можно юзать 443 порт - пакет возвращается обратно, далее он попадает в icq_chain, но так как он не удовлетворяет условиям - он возвращается оттуда обратно, аналогично я цепочкой magent. А что дальше? Дальше его нужно принять, чтобы он все таки прошел и вернулся ответом пользователю. Так вот для того и стоит последнее правило. Т.е. то, что нельзя пропускать - нужно резать до этого правила. Можно сделать и наоборот. В пользовательских цепочках вместо RETURN делать ACCEPT. Ну я в предыдущем посте про это писал.

Про то, как одним правилом выделить несколько портов - я писал там же...

[G-Dogg]

сразу нашел косяк:

Код: [Выделить]

$IPTABLES -A tcp_packets -j allowed
Это разрешает доступ ОТОВСЮДУ через tcp протокол. ИМХО - дыра. Надо так:

Код: [Выделить]

# Например "извне" к нам может подключаться по ssh определенный IP, назовем его SSH_allowed="x.x.x.x"
$IPTABLES -A tcp_packets -s $SSH_allowed --dport $ssh -j allowed
# А кроме него - никому подключаться низзя:
$IPTABLES -A tcp_packets -j DROP


Т.е. это косячное правило можно стереть,если мне не нужен доступ из вне?

[MadKox]

Ну либо стереть, либо изменить в нем слово allowed на слово DROP 

[makstor]

Помогите пожалуйста окончательно запутавшемуся... имеется шлюз (ubuntu server 8.10, squid, биллинг-traffpro-free), eth0-inet, eth1-lan. какие правила iptables должны быть, чтобы был заворот трафика на сквид и передача его пользовательскому процессу сквида (QUEUE). сквид слушает стандартный порт в локалке (192.168.0.1:3128). если есть у кого подобный конфиг - поделитесь пожалуйста... очень надо... 

[MadKox]

Код: [Выделить]

IPTABLES="/sbin/iptables"
SQV_HTTP="80"
LAN_IFACE="тот_интерфейс_что_смотрит_в_локалку"
SQUID="3128"
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport $SQV_HTTP -j REDIRECT --to-ports $SQUID
Перенаправление на сквид 80-го порта.

Про передачу его пользовательскому процессу - это наверное уже сквидом надо рулить... Я таким не заморачивался никогда... Про traffpro-free тоже, только слышал... сам не ковырял.