Помогите настроить Iptables

[evgen_73]

Имеем следующее: Ubuntu 12, на ней настроен SQUID в прозрачном режиме, придружен SAMS.
Ifconfig

eth0 (xxx.xxx.xxx.xxx) - static IP, смотрит в Интернет
eth1 - 192.168.10.1, смотрит в локальную сеть
сервисы написаны ниже в iptables

Задачи:
1. Закрыть все ненужные порты от внешнего мира "по максимому" (оставить только нужные)
2. Пробросить несчастный FTP (он находится в пассивном режиме) с внешки на 192.168.10.150 (сейчас он просматривается только с браузеров, с проводника Win ошибка 227)
3. Найти косяки начинающего админа и несильно пиная ногами указать на них и поправить (вроде все кроме ФТП работает, но хочется сделать все "правильно").
ЗАРАНЕЕ ВСЕМ СПАСИБО!!!

форвардинг включен, в интерфейсах следующее

Код: [Выделить]

pre-up iptables-restore < /etc/iptables.rulesв iptables

Код: [Выделить]

# Completed on Fri Jan 17 15:09:17 2014
# Основные правила NAT
*natые
:PREROUTING ACCEPT [358:25646]
:INPUT ACCEPT [291:20542]
:OUTPUT ACCEPT [19:1175]
:POSTROUTING ACCEPT [0:0]
# Прозрачный прокси для SQUID
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination xxx.xxx.xxx.xxx:3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# DRP
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.10.200
# FTP
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.151:21
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.10.151:20
-A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx/32 --dport 49152:65534 -j DNAT --to-destination 192.168.10.151:49152-65534
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2121 -j DNAT --to-destination 192.168.10.151:2121
# JABBER SERVER
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.10.150:5222
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 9090 -j DNAT --to-destination 192.168.10.150:9090
# VIDEO CCTV
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 37777 -j DNAT --to-destination 192.168.10.100
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jan 17 15:09:17 2014
# Generated by iptables-save v1.4.12 on Fri Jan 17 15:09:17 2014
*filter
:INPUT ACCEPT [170:17378]
:FORWARD ACCEPT [36:10752]
:OUTPUT ACCEPT [167:29907]
-A FORWARD -p tcp -m tcp -m state -i eth0 --dport 49152:65534 --state NEW,ESTABLISHED,RELATED -j ACCEPT
COMMIT


[fisher74]

У Вас всё нараспашку.
Самое простое решение - закрыть правилом по-умолчанию INPUT и FORWARD.

Код: [Выделить]

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROPНо перед выполнением первой строки, особенно если шлюз уже давно забыл про локальный монитор и клавиатуру, необходимо обеспечить доступ себе любимому.

Код: [Выделить]

sudo iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPTиначе придётся подключаться локально и выправлять ситуацию

А потом уже разрешить всё остальное что нужно.

P.S. Кстати, в этом плане продумано у кошководов (Cisco): перед любым критичным конфигурированием можно задать отсроченную перезагрузку одной командой. Если всё хорошо, то она легко отменяется. Если же "тупанул" и управление потерялось, то по окончании отсрочки произойдёт корректная перезагрузка. Меня пару раз это спасало.

[evgen_73]

fisher74 , Спасибо, вроде всеми настройками разобрались дружно и закрыли все.

Только непонятно почему не пробрасывается FTP

Код: [Выделить]

-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.151:21
При попытке входа через проводник windows после попытки авторизации (запрашивает логин+пароль) выдает ошибку 200, 227 и ругается на пассивный режим FTP сервера. Через Chrome к примеру каталоги просматриваются, через IE - нет.
Попробовал через D-lnk DIR-100  пробросить порт 21 на данный фтп - все ок. В чем же дело?

 

[fisher74]

http://www.opennet.ru/docs/RUS/iptables/#COMPLEXPROTOCOLS

[evgen_73]

Fisher74, снова огромное спасибо, все заработало!
Попробовал:

Код: [Выделить]

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
записал себе в скрипт загрузчика и все норм!

[fisher74]

может всё-таки для Ubuntu их правильней указать в /etc/modules?

... но это уже мелочи, главное цель достигнута )))

[evgen_73]

а есть ли смысл использовать SNAT вместо DNAT?

[fisher74]

Если есть такая возможность и велика нагрузка, то конечно да.