Сохранение правил iptables

[sljan]

Не смотря на то что тема много раз поднималась,  существуют некоторые затруднения.
Два дня назад поднимал вопрос об ограничении прав пользования internet конкретному пользователю.
Решено iptables -A OUTPUT -m owner --uid-owner 1001 -j DROP.
Однако сохранить правило оказалось не так-то просто.
1. Для начала создал файл
iptables-save > /etc/iptables-save
2. Затем скрипт
#!/bin/sh -e
cat /etc/iptables-save | iptables-restore
3. Пробовал поместить скрипт в
   а) /etc/rc.local
   b) /etc/init.d (c созданием ссылки в /etc/rcX.d)
   c) /home/user/.profile
   d) /home/user
При этом даже указывал >Система>Параметры>Запускаемые приложения
4. Пробовал прописать сами правила в /etc/rc.local или /home//profile
РЕЗУЛЬТАТ ОДИНАКОВЫЙ: При первой перезагрузки все корректно, дальше у пользователя опять есть "интернет".
Кроме того если при корректной загрузке уронить - поднять соединение (аплет Network manadger), то связь с интернет восстанавливается.
Помещение скрипта в /etc/network/if-pre-up.d или  /etc/network/if-pre-up.d результат не дали.
Если есть какие-то соображения, пожалуйста, поделитесь.

[AnrDaemon]

Удалить NM, настроить всё родными средствами системы.

[Mam(O)n]

У тебя ufw трёт твои новые правила. На его наличии тебе уже указывали раньше.

[sljan]

У тебя ufw трёт твои новые правила. На его наличие тебе уже указывали раньше.

Удалил ufw и вообще все что могло писать свои правила для iptables

[Mam(O)n]

sudo iptables-save это подтверждает?

[sljan]

sudo iptables-save это подтверждает?

(Нажмите, чтобы показать/скрыть)

root@woker-desktop:~# iptables-save
# Generated by iptables-save v1.4.4 on Fri Oct 22 20:27:45 2010
*filter
:INPUT DROP [6:6080]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 10.63.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.63.0.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.0.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Fri Oct 22 20:27:45 2010
# Generated by iptables-save v1.4.4 on Fri Oct 22 20:27:45 2010
*mangle
:PREROUTING ACCEPT [197:132563]
:INPUT ACCEPT [198:134063]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [214:24953]
:POSTROUTING ACCEPT [207:23888]
COMMIT
# Completed on Fri Oct 22 20:27:45 2010
# Generated by iptables-save v1.4.4 on Fri Oct 22 20:27:45 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [68:4089]
:OUTPUT ACCEPT [68:4089]
COMMIT
# Completed on Fri Oct 22 20:27:45 2010
root@woker-desktop:~# iptables-save
# Generated by iptables-save v1.4.4 on Fri Oct 22 21:27:19 2010
*filter
:INPUT DROP [6:6080]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 10.63.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.63.0.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.0.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Fri Oct 22 21:27:19 2010
# Generated by iptables-save v1.4.4 on Fri Oct 22 21:27:19 2010
*mangle
:PREROUTING ACCEPT [1893:1230751]
:INPUT ACCEPT [1894:1232251]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2130:610983]
:POSTROUTING ACCEPT [2121:609838]
COMMIT
# Completed on Fri Oct 22 21:27:19 2010
# Generated by iptables-save v1.4.4 on Fri Oct 22 21:27:19 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [360:21341]
:OUTPUT ACCEPT [360:21341]
COMMIT
# Completed on Fri Oct 22 21:27:19 2010

root@woker-desktop:~# ufw
Программа 'ufw' на данный момент не установлена.  Вы можете установить её, выполнив:
apt-get install ufw

[Mam(O)n]

А вот iptables-save говорит о том, что ты сохранил в другом месте то, чего ufw нагенерил. Тут они /etc/iptables-save ?
Пользователь решил продолжить мысль 22 Октября 2010, 22:32:45:А. Стоп. А firestarter случаем еще не стоит?

[sljan]

А. Стоп. А firestarter случаем еще не стоит?

firestarter стоял. Удалил - все заработало. Спасибо.