Доводка до ума скрипта iptables, тонкая настройка.

[_set_]

Настроен сервер на базе Ubuntu 12.04, выступает в ролях: dhcp, сервер доступа, билинг, шлюз, БД Mysql. Netfilter настроен на базе скрипта из учебного пособия из «Руководство по iptables (Iptables Tutorial 1.1.19)», под спойлером.
У сервака реальный постоянный ip-адрес, и есть еще другая реальная подсеть /24, часть которой, примерно 20-30 ip, нужно прикрутить к трансляции. Т.е. Я в билинге нарезаю подсети с маской /27 и соотвественно "форвардю" и "натю" их iptables, что бы вся сеть не сидела на одном адресе. Сейчас есть три серых сети, которые натятся на три реальных адреса: основная група абонов на реальный ip сервера и две гуппы со своими реальными адресами из другой сети. Также есть несколько служебных компов, которые работают по прямому нату, т. е. без pppoe.
Как, и нужно ли, сделать красиво что бы не «натить» набор сетей 20-30 правилами?
Нужно разрешить весь абонентский трафик для форвардинга, стоит ли открыть все порты udp и tcp выше 1024 или хватит текущей конфигурации?
Еще меня беспокоит достаточно большое (а может и нет, опыта маловато сказать наверняка) количество отброшеных новых, не syn, пакетов.

Код: [Выделить]

Dec 25 09:51:10 localhost kernel: [87597.711267] New not syn:IN=eth0 OUT= MAC=00:1b:21:6f:e8:3c:00:11:43:34:40:67:08:00 SRC=54.225.249.246 DST=172.16.0.15 LEN=128 TOS=0x00 PREC=0x00 TTL=43 ID=25883 DF PROTO=TCP SPT=4244 DPT=55317 WINDOW=113 RES=0x00 ACK PSH URGP=0
Dec 25 09:51:46 localhost kernel: [87633.737024] New not syn:IN=eth0 OUT= MAC=00:1b:21:6f:e8:3c:00:11:43:34:40:67:08:00 SRC=195.**.***.** DST=172.16.0.15 LEN=41 TOS=0x00 PREC=0x00 TTL=58 ID=25019 DF PROTO=TCP SPT=8000 DPT=50873 WINDOW=4 RES=0x00 ACK URGP=0 Можна ли этим принебречь и просто подавить логирование таких пакетов?
Какие правила можно/нужно переместить в очереди?
В общем, господа, любые замечания приветствуются.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

#iptables
IPT="/sbin/iptables"

MANGLE="$IPT -t mangle"
FILTER="$IPT -t filter"
NAT="$IPT -t nat"

#Internet
INET_IP="193.***.***.**"
INET_IP2="195.*.*.10"
INET_IP3="195.*.*.11"
INET_NET="195.*.*.0/24"
INET_IFACE="eth0"

#LAN
LAN_IP="192.168.3.1"
LAN_IP_RANGE="192.168.3.0/24"
LAN_IFACE="eth1"

TenMb_IP="10.0.0.0/16"
HundredMb_IP="10.3.0.0/23"
WIFI_IP="10.2.0.0/23"

#localhost
LO_IFACE="lo"
LO_IP="127.0.0.1"
case "$1" in
    start)
        echo "Starting iptables..."
        #
# 2. Module loading.
# Needed to initially load modules

/sbin/depmod -a

# 2.1 Required modules

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

# 2.2 Non-Required modules

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

        $FILTER -F
        $NAT -F
        $MANGLE -F
        $FILTER -X
        $NAT -X
        $MANGLE -X

        # По-умолчанию выбрасывать все пакеты
        $IPT -P INPUT DROP
        $IPT -P OUTPUT DROP
        $IPT -P FORWARD DROP
     
# Create chain for bad tcp packets

$IPT -N bad_tcp_packets

# Create separate chains for ICMP, TCP and UDP to traverse

$IPT -N allowed
$IPT -N tcp_packets
$IPT -N udp_packets
$IPT -N icmp_packets

# 4.1.3 Create content in userspecified chains

# bad_tcp_packets chain

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# allowed chain

$IPT -A allowed -p TCP --syn -j ACCEPT
$IPT -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A allowed -p TCP -j DROP

# TCP rules

#$IPT -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed #ftp
$IPT -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed #ssh
$IPT -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed #http
$IPT -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 1812 -j allowed #radius
$IPT -A tcp_packets -p TCP -s 0/0 --dport 1813 -j allowed #radius

$IPT -A tcp_packets -p TCP -s 0/0 --dport 3306 -j allowed # replication mysql

#$FILTER -A INPUT -p tcp -m tcp --dport 1813 -j ACCEPT # radius
#$FILTER -A INPUT -p tcp -m tcp --dport 1812 -j ACCEPT

# UDP ports

#$IPT -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT #bind
#$IPT -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT #ntp
$IPT -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT #
$IPT -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

# In Microsoft Networks you will be swamped by broadcasts. These lines
# will prevent them from showing up in the logs.

#$IPT -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP

# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.

#$IPT -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP

# ICMP rules

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# 4.1.4 INPUT chain
#
# Bad TCP packets we don't want.
#
$IPT -A INPUT -p tcp -j bad_tcp_packets

# Rules for special networks not part of the Internet
#

$IPT -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPT -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPT -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPT -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

# Special rule for DHCP requests from LAN, which are not caught properly
# otherwise.
#

$IPT -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

# Rules for incoming packets from the internet.
#

$IPT -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPT -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

# If you have a Microsoft Network on the outside of your firewall, you may
# also get flooded by Multicasts. We drop them so we do not get flooded by logs

#$IPT -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

# Log weird packets that don't match the above.
#

#UNCOMMENT FOR DIAGNOSTIC INPUT PROBLEM

#$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT INPUT packet died: "

#
# 4.1.5 FORWARD chain
#
# Bad TCP packets we don't want
#

$IPT -A FORWARD -p tcp -j bad_tcp_packets

# Accept the packets we actually want to forward
#

$IPT -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPT -A FORWARD -s $INET_NET -j ACCEPT
$IPT -A FORWARD -s $TenMb_IP -j ACCEPT
$IPT -A FORWARD -s $HundredMb_IP -j ACCEPT
$IPT -A FORWARD -s $WIFI_IP -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log weird packets that don't match the above.
#

#UNCOMMENT FOR DIAGNOSTIC FORWARD PROBLEM
$IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 OUTPUT chain
#
# Bad TCP packets we don't want.
#

$IPT -A OUTPUT -p tcp -j bad_tcp_packets

#
# Special OUTPUT rules to decide which IP's to allow.
#

$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -s $INET_IP2 -j ACCEPT
$IPT -A OUTPUT -p ALL -s $INET_IP3 -j ACCEPT
#
# Log weird packets that don't match the above.
#
#UNCOMMENT FOR DIAGNOSTIC OUTPUT PROBLEM
$IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 nat table

#$IPT -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s $TenMb_IP -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s $HundredMb_IP -j SNAT --to-source $INET_IP #$INET_IP2
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s $WIFI_IP -j SNAT --to-source $INET_IP #INET_IP3


#/proc configuration

   
        echo 1 > /proc/sys/net/ipv4/ip_forward
    ;;
    stop)
        echo "Stopping $IPT..."
    ;;
    restart)
        $0 stop
        $0 start
    ;;
    *)
        echo "Usage: $0 [start|stop|restart]"
    ;;
esac

[_set_]

В сети большинство абонентов на серых адресах есть группа с реальными, возникла задача сделать доступ абонентов к своему оборудованию с реальными IP и разрешить пинги на него. Решил таким правилом:

Код: [Выделить]

$IPT -A FORWARD -i $INET_IFACE -d $INET_NET -j ACCEPTНо оно мне кажется слишком общим, а с другой стороны, по-идее, все равно не даст из локальной сети ($LAN_IFACE) ходить на реальные адреса, т.е. правило должно быть таким:

Код: [Выделить]

$IPT -A FORWARD -d $INET_NET -j ACCEPTПоправьте меня, пожалуйста.
Пользователь решил продолжить мысль 09 Января 2014, 15:46:28:Блин, то ли я глупые вопросы задаю, то ли слишком заумные...

[aviacliff]

Как, и нужно ли, сделать красиво что бы не «натить» набор сетей 20-30 правилами?

На мой взгляд 20-30 правил не так уж и много, попробуйте такой скрипт помучать:

Код: [Выделить]

#/bin/sh

#Разрешаем форводинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ извнутренней сети наружу
iptables -A FORWARD -i eth2 -o eth3 -j ACCEPT

# ВключаемNAT
iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth3 -j  NAT –to-source 192.168.zz.vv

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth3 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth3 -o eth2 -j REJECT
можно добавить в правила

Код: [Выделить]

$IPT -A INPUT   -i $INET_IFACE -d ! $INET_IP  -j DROP

Нужно разрешить весь абонентский трафик для форвардинга, стоит ли открыть все порты udp и tcp выше 1024 или хватит текущей конфигурации?

Думаю можно прислушаться к совету:
 печально известные порты:
 0 - tcpmux; у SGI есть уязвимость, через которую можно атаковать
13 - daytime
98 - Linuxconf
111 - sunrpc (portmap)
137:139, 445 - Microsoft
SNMP: 161,2
Флотилия Squid: 3128, 8000, 8008, 8080
1214 - Morpheus или KaZaA
2049 - NFS
3049 - очень заразный троян для Linux, часто путаемый с NFS
Часто атакуемые: 1999, 4329, 6346
Частые трояны 12345 65535
 COMBLOCK="0:1 13 98 111 137:139 161:162 445 1214 1999 2049 3049 4329 6346 3128 8000 8008 8080 12345 65535"
Порты TCP:
 98 - Linuxconf
512-515 - rexec, rlogin, rsh, printer(lpd)
#[очень серьезеные уязвимости; продолжаются ежедневные атаки]
1080 - прокси-серверы Socks
6000 - X (ЗАМЕЧАНИЕ. X через SSH - безопасен, и работает на порту TCP 22)
Блокировка 6112 (CDE у Sun и HP)
 TCPBLOCK="$COMBLOCK 98 512:515 1080 6000:6009 6112"
Порты UDP:
161:162 - SNMP
520=RIP, 9000 - Sangoma
517:518 - talk и ntalk (самые надоедливые)

[_set_]

На мой взгляд 20-30 правил не так уж и много, попробуйте такой скрипт помучать:

20-30 правил только для НАТ, в целом правил больше чем в приведенном скрипте (некоторые решил не светить).

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth3 -o eth2 -j REJECT

это мне не подойдет поскольку абонам как раз нужно иметь доступ к своему оборудованию в моей сети. Или я неправильно понимаю идеологию этого правила?

можно добавить в правила

Код: [Выделить]
$IPT -A INPUT   -i $INET_IFACE -d ! $INET_IP  -j DROP

Вот это интересно, против каких атак используется?

Думаю можно прислушаться к совету:
 печально известные порты:
 0 - tcpmux; у SGI есть уязвимость, через которую можно атаковать
13 - daytime
98 - Linuxconf
111 - sunrpc (portmap)
137:139, 445 - Microsoft
SNMP: 161,2
Флотилия Squid: 3128, 8000, 8008, 8080
1214 - Morpheus или KaZaA
2049 - NFS
3049 - очень заразный троян для Linux, часто путаемый с NFS
Часто атакуемые: 1999, 4329, 6346
Частые трояны 12345 65535
 COMBLOCK="0:1 13 98 111 137:139 161:162 445 1214 1999 2049 3049 4329 6346 3128 8000 8008 8080 12345 65535"
Порты TCP:
 98 - Linuxconf
512-515 - rexec, rlogin, rsh, printer(lpd)
#[очень серьезеные уязвимости; продолжаются ежедневные атаки]
1080 - прокси-серверы Socks
6000 - X (ЗАМЕЧАНИЕ. X через SSH - безопасен, и работает на порту TCP 22)
Блокировка 6112 (CDE у Sun и HP)
 TCPBLOCK="$COMBLOCK 98 512:515 1080 6000:6009 6112"
Порты UDP:
161:162 - SNMP
520=RIP, 9000 - Sangoma
517:518 - talk и ntalk (самые надоедливые)

Мммм, а можно ссылку на даную статью? Выглядит как рекомендации для цепочки INPUT да и SNMP нужен, думаю просто ограничить адресом с которого приходят запросы на 161-162.

В сети большинство абонентов на серых адресах есть группа с реальными, возникла задача сделать доступ абонентов к своему оборудованию с реальными IP и разрешить пинги на него. Решил таким правилом:

Код: [Выделить]

$IPT -A FORWARD -i $INET_IFACE -d $INET_NET -j ACCEPTНо оно мне кажется слишком общим, а с другой стороны, по-идее, все равно не даст из локальной сети ($LAN_IFACE) ходить на реальные адреса, т.е. правило должно быть таким:

Код: [Выделить]

$IPT -A FORWARD -d $INET_NET -j ACCEPTПоправьте меня, пожалуйста.

Отвечу сам себе - открываем всю сеть и настраиваем защиту на конкретных станциях из этой сети.

[aviacliff]

Статья называется: Подробная настройка iptables
http://aidalinux.ru/w/%D0%9F%D0%BE%D0%B4%D1%80%D0%BE%D0%B1%D0%BD%D0%B0%D1%8F_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_iptables

Может пригодится еще вот такое: Сетевой брандмауер (Часть 1)
Статья не особо свежая,но изложена хорошо
http://rus-linux.net/MyLDP/BOOKS/redhatsec/glava07.htm

Пользователь решил продолжить мысль 19 Января 2014, 19:29:50:

Но оно мне кажется слишком общим, а с другой стороны, по-идее, все равно не даст из локальной сети ($LAN_IFACE) ходить на реальные адреса, т.е. правило должно быть таким:

Я думаю в правилах нужно сделать привязку к IP адресам для увеличения безопасности.
Если оперируешь только с  интерфейсами уязвисостей больше.