настройка iptables для сервера

[allegator]

Добрый день! Установил Ubuntu Server, squid, почту... встал острый вопрос с настройкой iptables. Главная задача закрыть доступ из вне и чтоб банк-клиент через iptables работал. th0- инет , th1- локалка
net.ipv4.ip_forward = 1
Задал следующие правила:
iptables -F
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

имеем: запрещено всё кроме порта в локальной сети через который squid раздает инет 8080
Далее банк клиент конектится к серверу 84.42.51.XX через порт 3290 .... как добавить новое правило чтоб тачка с ip 192.168.1.50 ходила на этот сервер через этот порт?
Есть еще банк клиент который конектиться к ФТП серверу своему...тож не понятно как для него создать правила.
И как открыть доступ к серваку из вне через 22 порт ?
Помогите люди добрые.

[Vovans]

имеем: запрещено всё кроме порта в локальной сети через который squid раздает инет 8080

ну, само мобой )) толко этот порт и открыт )) а остальное же всё DROPается )))

Гули по форвардинку портов. Проброс портов в iptables.

По ssh как-то так:

Код: [Выделить]

$IPT -A INPUT -i $INET_IFACE -p tcp --dport 22 -j ACCEPT
Для работы фтп желательно загрузить вот эти модули:

Код: [Выделить]

nf_nat_ftp
nf_conntrack_ftp
и порт, соответственно, открыть, как в примере с ssh.

А вообще, задача типовая, ничего особенного в ней нет, мануалов куча. Проще нагуглить и разобраться.

[allegator]

как раз хрен разберешься...понаписано всего толком не понятно...
Яж спросил вроде точно..можно написать как решить эту задачу: банк клиент конектится к серверу 84.42.51.XX через порт 3290 .... как добавить новое правило чтоб тачка с ip 192.168.1.50 ходила на этот сервер через этот порт?

что такое $INET_IFACE ?

[victor00000]

что такое $INET_IFACE ?

Код: [Выделить]

ifconfig -a | grep "^[a-z]" | awk '{print $1}'Одну выбирать на $INET_IFACE заменить.

[fisher74]

ТС, рекмендую проштудировать работу Iptables. Мне в своё время статья в wiki помогла.
Без понимания процесса - туго Вам будет защищаться, обороняться и особенно среди защитных рычагов комфортно работать.

[Vovans]

Яж спросил вроде точно..можно написать как решить эту задачу

не думаю, что за вас тут кто-то захочет писать правила для ipt.

Я же сказал, гуглите на тему форвардинга (проброски) портов и iptables. Сразу кучу всего гугл выведет. Есть вполне конкретные статьи и ветки форумов на этот счёт.

[just_men]

задача и правда банальна, надо малясь почитать и все, но для начала

банк клиент конектится к серверу 84.42.51.XX через порт 3290 .... как добавить новое правило чтоб тачка с ip 192.168.1.50 ходила на этот сервер через этот порт?

а протокол то какой - tcp udp ... ибо протокол надо прописывать обязательно в правиле iptables. для примера:

/sbin/iptables -t nat -A POSTROUTING -j SNAT -p tcp --dport 3290 -s 192.168.1.50 -d 84.42.51.XX --to $INET_IFACE
если конечно протокол tcp. правило прописывается в цепочке POSTROUTING таблицы nat.
$INET_IFACE - ip-адресс сетевого интерфейса в сети Интренет.

ну и пока писал - мои мысли прочитал уважаемый Vovans ...

[Vovans]

Да не то, чтобы прочитал )) я сразу же об этом писал, а потом чуть яснее сформулировал ))) Ведь задача-то обыденная. Столько уже всего писано-переписано. Была бы конкретная проблема, можно было бы помочь. А так - настройте мне сервер. Ну, как-то лень переписывать то, чего уже полно в сети, но человек сам не хочет...

[just_men]

ну я как мог - ответил, ждем ответа от автора, а то в офтоп уйдем ...

[allegator]

начал разбираться.... дошел до момента  какие настройки надо прописать на тачке .....шлюз понятно...а днс чей? провайдера ? если его то как тачка получит к нему доступ ?

[fisher74]

1. На тачке песок и мусор возят, а не настройки прописывают.
2. Параметр ДНС у клиента вносится в зависимости от структуры локальной сети. Если в сети есть свой DNS-шлюз, то его, если нет, то клиенту предоставляется доступ к провайдерскому ДНС

[ventru22]

iptables -t nat -A POSTROUTING -s 192.168.1.50 -p tcp -m tcp --dport 3290 -j MASQUERADE

в теории этого достаточно для работы клиент банка, по идее и для фтп тоже, 22 порт можно напрямую пробросить до компа с клиент банком

iptables -t nat -A PREROUTING -d $IP_server -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_local_pc:22

в теории должно работать 

[allegator]

Спасибо! почитал доки с пробросом  портов и  худо бедно разобрался....заработало.. Осталось разобраться с банк-клиентам который работает через фтп... доков мало по этому поводу.. написано что надо
Поэтому необходимо подключить дополнительный вспомогательный модуль данном ip_nat_ftp.
Это осуществляется добавлением в файл /etc/sysconfig/iptables-config следующих строк:

# Additional iptables modules (nat helper)
# Default: -empty-
IPTABLES_MODULES="ip_nat_ftp"

в Ubuntu такого нет...
у него как я понял
modprobe nf_conntrack_ftp
modprobe nf_conntrack_pptp
modprobe nf_conntrack_proto_gre

но после рестарта всё пропадет...как правильно подключить эти модули?

[Vovans]

А куда вы пишете правила Iptables? В отдельный скрипт? Если да, то где-то вначале можно прописать modprobe ip_nat_ftp.  Ну, или в /etc/rc.local до exit 0.

[Yuriy_Y]

modprobe nf_conntrack_ftp
modprobe nf_conntrack_pptp
modprobe nf_conntrack_proto_gre
но после рестарта всё пропадет...как правильно подключить эти модули?

Код: [Выделить]

sudo nano /etc/modulesИ все имена модулей туда.