Нужна помошь в разъяснении деталей работы iptables

[trukhachev]

1. В документации написано, что эти два правила требуются для правильной работы транзитного трафика:

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 192.168.1.2 -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
iptables -t nat -A OUTPUT -d 11.11.11.11 -j DNAT --to-destination 192.168.1.2 # 11.11.11.11 - внешний ip шлюза
В связи с этим возникают вопросы. Будет ли весь трафик проходить внутри сети через шлюз? И как следствие этого, будут ли корректно работать расшаренные папки?

2. Не будет ли это правило блокировать транзит и переброс?

Код: [Выделить]

iptables -t filter -P INPUT       DROP # Заблокировать входящие пакеты

3. Нужно ли отдельным правилом разрешать DNAТ и SNAT?
4. Имеет ли значение когда указывать политику по умолчанию (-P) в конце или начале?

P.S. -t filter пишу для красоты записи, знаю что можно опустить.

Задачи шлюза такие:
1. транзит трафика из локальной сети
2. переброс с внешних ip на терминал в локальной сети
3. блок портов кроме ssh, на который наложены ограничения по кол-ву соединений.
4. разрешение пинга из внешней сети

Правила полностью:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# ==============================================================
# Принятые обозначения
# ==============================================================
# lo   - сам компьютер
# eth0 - внешняя сеть
# eth1 - внутренняя сеть

# ==============================================================
# Удалить все правила из цепи
# ==============================================================
iptables -t filter -F INPUT #
iptables -t filter -F OUTPUT #
iptables -t nat    -F PREROUTING   #
iptables -t nat    -F POSTROUTING #
iptables -t nat    -F OUTPUT #
iptables -t mangle -F PREROUTING #
iptables -t mangle -F OUTPUT #

# ===============================================================
# Политика по умолчанию
# ===============================================================
iptables -t filter -P INPUT       DROP # Заблокировать входящие пакеты
iptables -t filter -P OUTPUT      DROP # Заблокировать исходящие пакеты
iptables -t filter -P FORWARD     ACCEPT # Разрешить транзитный трафик
iptables -t nat    -P PREROUTING  ACCEPT #
iptables -t nat    -P POSTROUTING ACCEPT #
iptables -t nat    -P OUTPUT      ACCEPT #
iptables -t mangle -P PREROUTING  ACCEPT #
iptables -t mangle -P OUTPUT  ACCEPT #

# ================================================================
# Оптимизация политики по умолчанию
# ================================================================
iptables -t filter -A INPUT  -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT  -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTOUT -p udp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

# ================================================================
# Цепочка ssh_bruteforce_check (Подбор пороля в слепую к ssh)
# ================================================================
iptables -N ssh_bruteforce_check
iptables -A ssh_bruteforce_check -m recent --update --seconds 120 --hitcount 3 -j DROP # Ограничение: в 2 мин - 3 соединения
iptables -A ssh_bruteforce_check -m recent --set -j ACCEPT # Добавить в список

# ================================================================
# Внешней сеть
# ================================================================
iptables -t filter -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW -j ssh_bruteforce_check

# =================================================================
# Внутренняя сеть
# =================================================================
iptables -t filter -A INPUT -i eth1 -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -j ACCEPT

# =================================================================
# Передача транзитного трафика
# =================================================================
iptables -t filter -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/255.255.255.0 -j ACCEPT

# =================================================================
# Маскировка исходящих пакетов, отправка ответов через шлюз
# =================================================================
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 11.11.11.11
iptables -t nat -A POSTROUTING -d 192.168.1.2 -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
iptables -t nat -A OUTPUT -d 11.11.11.11 -j DNAT --to-destination 192.168.1.2


# =================================================================
# Проброс на внутренний сервер 1С
# =================================================================
iptables -t nat -A PREROUTING -s 12.12.12.12 -d 11.11.11.11 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2 # Офис 1
iptables -t nat -A PREROUTING -s 13.13.13.13 -d 11.11.11.11 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2 # Офис 2


[AnrDaemon]

1. Читай ПРАВИЛА ФОРУМА БЛИН!!ЁЁЁЁ
2. Кури таблицу перенаправлений - INPUT и FORWARD это параллельные цепочки.

[trukhachev]

Что я не так сделал? В форуме искал. Все нормально написал.
Читал документацию и форум там конкретно этого вопроса (1) не касались.
Спасибо за пункт 2.

[AnrDaemon]

Листинги больше нескольких строк прятать в спойлер!

[trukhachev]

Сделал как положено, вопрос 1 остается актуальным.

[AnrDaemon]

Без описания топологии сети - остается только гадать.
Чисто по тому, что я вижу и могу угадать - первое правило бессмысленное, второе к транзитному трафику отношения не имеет вообще.

Маршрутизация по адресам делается одним правилом
iptables -t nat -A POSTROUTING -s $LOCALNET -d ! $LOCALNET -j SNAT --to-source $TRANSPORT_IP

Например, у меня это
-A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -m state --state NEW -j SNAT --to-source 192.168.0.2
192.168.1.0/24 - локалка.
192.168.0.0/30 - транспортная сеть маршрутизатора.

[trukhachev]

Топология самая простая:

Внешняя сеть <->            Шлюз          <-> Локальная сеть (192.168.1.0/24)
                             eth1 192.168.1.1
                             eth0 11.11.11.11

[Mam(O)n]

По вопросам.
1. Где отрыл такие доки?
1.1 Трафик внутри сети, выходящий за пределы шлюза? Или трафик изнутри сети, назначенный шлюзу, но переназначенный обратно в локалку (см. под спойлером)?
1.2 Шары венды? За пределы шлюза не пойдут, если специально ничего не предпринимать.
2.
3. Да, если заблокированно. Эти правила в filter/FORWARD (см. под спойлером)
4. Да, если учитывать скорость загрузки правил

По тому, что сейчас есть:
а) Не стоит блокировать icmp. Для лучшей безопасности лучше настроить ядро, раскомментировав нужные строки в /etc/sysctl.conf
б) В filter/FORWARD правила бессмысленны при текущем раскладе. Сейчас разрешен весь транзит. Не стоит так оставлять.
в) Особого смысла фильтровать трафик в filter/OUTPUT не вижу.
г) Странный подход к маскированию.
д) lo не должен быть запрещен в filter/INPUT и filter/OUTPUT.

(Нажмите, чтобы показать/скрыть)

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Ignore ICMP broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
#
# Ignore bogus ICMP errors
#net.ipv4.icmp_ignore_bogus_error_responses = 1
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
# net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#
# The contents of /proc/<pid>/maps and smaps files are only visible to
# readers that are allowed to ptrace() the process
# kernel.maps_protect = 1

(Нажмите, чтобы показать/скрыть)

# ==============================================================
# Принятые обозначения
# ==============================================================
# lo   - сам компьютер
# eth0 - внешняя сеть
# eth1 - внутренняя сеть

# ===============================================================
# Политика по умолчанию
# ===============================================================
iptables -t filter -P INPUT       DROP      
iptables -t filter -P OUTPUT      ACCEPT      
iptables -t filter -P FORWARD     DROP      
iptables -t nat    -P PREROUTING  ACCEPT   
iptables -t nat    -P POSTROUTING ACCEPT   
iptables -t nat    -P OUTPUT     ACCEPT   
iptables -t mangle -P PREROUTING  ACCEPT   
iptables -t mangle -P OUTPUT     ACCEPT   

# ==============================================================
# Удалить все правила
# ==============================================================
iptables -t filter -F         # Удаляем все правила
iptables -t filter -X         # Удаляем пользовательские цепочки
iptables -t nat    -F
iptables -t nat    -X
iptables -t mangle -F
iptables -t mangle -X

# ================================================================
# Оптимизация политики по умолчанию
# ================================================================
iptables -t filter -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# ================================================================
# Цепочка ssh_bruteforce_check (Подбор пороля в слепую к ssh)
# ================================================================
iptables -N ssh_bruteforce_check
iptables -A ssh_bruteforce_check -m recent --update --seconds 120 --hitcount 3 -j DROP # Ограничение: в 2 мин - 3 соединения
iptables -A ssh_bruteforce_check -m recent --set -j ACCEPT # Добавить в список

# ================================================================
# Внешней сеть
# ================================================================
iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW -j ssh_bruteforce_check
iptables -t filter -A INPUT -i eth0 -p icmp -j ACCEPT

# =================================================================
# Внутренняя сеть
# =================================================================
iptables -t filter -A INPUT -i eth1 -j ACCEPT

# =================================================================
# Передача транзитного трафика
# =================================================================
iptables -t filter -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

# =================================================================
# Маскировка исходящих пакетов
# =================================================================
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 11.11.11.11
iptables -t nat -A POSTROUTING -i eth1 -o eth1 -j SNAT --to-source 192.168.0.1   # Трафик, который после маршрутизации вернулся в исходную сеть eth1.

# =================================================================
# Проброс на внутренний сервер 1С
# =================================================================
iptables -t nat -A PREROUTING -s 12.12.12.12 -d 11.11.11.11 -p tcp --dport 3389 -j DNAT --to 192.168.1.2 # Офис 1
iptables -t nat -A PREROUTING -s 13.13.13.13 -d 11.11.11.11 -p tcp --dport 3389 -j DNAT --to 192.168.1.2 # Офис 2