Помогите разобраться с iptables

[tagilchanin]

Добрый день.
Есть такой вопросик. Стоит шлюз на котором все настроено через iptables вот этим скриптом:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

echo "Starting firewalling..."

INET_IP="AA.BB.CC.DD"
INET_IFACE="ppp0"


LAN_IP="192.168.0.9"
LAN_IFACE="eth0"

DMZ_SERVER_IP="192.168.0.1"


LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

echo "Cheking module dependencies..."
/sbin/depmod -a

echo "Loading additional modules..."
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

###############################################################
# Enable IPv4 forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Enable broadcast echo Protection
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Disable Source Routed Packets
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
 echo 0 > $f
 done
         
# Enable TCP SYN Cookie Protection
 echo 1 > /proc/sys/net/ipv4/tcp_syncookies
                 
# Disable ICMP Redirect Acceptance
#for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo 0 > $f
done
                               
# Dont send Redirect Messages
for f in /proc/sys/net/ipv4/conf/*/send_redirects; do
 echo 0 > $f
 done
                                               
# Drop Spoofed Packets coming in on an interface, which if replied to,
# would result in the reply going out a different interface.
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
 echo 1 > $f
 done

# Log packets with impossible addresses.7
#for f in /proc/sys/net/ipv4/conf/*/log_martians; do
#    echo 1 > $f
#done
###############################################################

echo "Flushing chains..."

    $IPTABLES -F
    $IPTABLES -X
    $IPTABLES -F -t nat
    $IPTABLES -X -t nat

    $IPTABLES -P INPUT ACCEPT
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD ACCEPT
    #   
    # 4.1.4 INPUT chainn
    #

    $IPTABLES -A INPUT -i $INET_IFACE -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
    $IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    $IPTABLES -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

   
    $IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53 -j ACCEPT

   
    $IPTABLES -A INPUT -p TCP --dport 22 -j ACCEPT


    $IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT

    $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
    $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
    $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

    $IPTABLES -A INPUT -p UDP -i $INET_IFACE -d 192.168.0.255 --dport 135:139 -j DROP

    $IPTABLES -A INPUT -p UDP -i $LAN_IFACE -d 255.255.255.255 --dport 67 -j ACCEPT

    #
    # 4.1.5 FORWARD chain
    #

    $IPTABLES -A FORWARD -i $INET_IFACE -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
    $IPTABLES -A FORWARD -i $INET_IFACE -p tcp ! --syn -m state --state NEW -j DROP
##############

    $IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPTABLES -A FORWARD -p TCP -i $LAN_IFACE -o $INET_IFACE -s 192.168.0.11 --dport 60179 -j ACCEPT


    $IPTABLES -A FORWARD -p TCP -i $LAN_IFACE -o $INET_IFACE -s 192.168.0.57 -m multiport --dport 23,25,110,443,3389,2000,4490,10153,12992 -j ACCEPT
   
    $IPTABLES -A FORWARD -p TCP -i $LAN_IFACE -o $INET_IFACE -s 192.168.0.57 --dport 60179 -j ACCEPT
    $IPTABLES -A FORWARD -p all -i $LAN_IFACE -o $INET_IFACE -s 192.168.0.1  -j ACCEPT


   #$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $DMZ_SERVER_IP -m multiport --dport 20,21,143,25,465,995,9090,5222,5223 -j ACCEPT
   
   
    $IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -s $DMZ_SERVER_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
   
    $IPTABLES -A FORWARD -i ppp0 -o eth0 -j ACCEPT
    $IPTABLES -A FORWARD -i eth0 -o ppp0 -j ACCEPT

    #$IPTABLES -A FORWARD -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died:"
   
    #
    # 4.1.6 OUTPUT chain
    #

    $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
    $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
    $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
    $IPTABLES -A OUTPUT -p ALL -o ppp0 -j ACCEPT
   
    $IPTABLES -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53  -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 53  -j ACCEPT
    #
    # Log weird packets that don't match the above.
    #
    #$IPTABLES -A OUTPUT -j LOG --log-prefix "IPT OUTPUT packet died: "

    #
    # 4.2 NAT table
    #


 
     $IPTABLES -t nat -A PREROUTING -d $INET_IP -p TCP -m multiport --dport 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination $DMZ_SERVER_IP

   
    $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p TCP --dport 80 -j REDIRECT --to-ports 3128
   
    $IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
    $IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
    $IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891


    $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o $INET_IFACE -j SNAT --to-source $INET_IP

Вопросов несколько:
Первый - при таком скрипте все работает, но я не могу открыть порт 53 tcp во внутрь (для ДНС, ДНС стоит на этом же сервере).
Второй - если закоментировать строку

(Нажмите, чтобы показать/скрыть)

$IPTABLES -t nat -A PREROUTING -d $INET_IP -p TCP -m multiport --dport 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination $DMZ_SERVER_IP

то порты 21,80,143,995,9090 становяться закрытими.
Подскажите как правильно открыть порты во внутрь.

[AnrDaemon]

Мы тебе не онлайн-интерпретаторы.
iptables-save показывай.

[tagilchanin]

Мы тебе не онлайн-интерпретаторы.
iptables-save показывай.

Виноват, дурак, исправлюсь.

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 13:47:58 2010
*nat
:PREROUTING ACCEPT [23447:1584533]
:POSTROUTING ACCEPT [8654:577132]
:OUTPUT ACCEPT [8447:561564]
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source AA.BB.CC.DD
COMMIT
# Completed on Tue Nov 30 13:47:58 2010
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 13:47:58 2010
*filter
:INPUT ACCEPT [3717:1104377]
:FORWARD ACCEPT [8851:1775097]
:OUTPUT ACCEPT [0:0]
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.0.9/32 -i lo -j ACCEPT
-A INPUT -s AA.BB.CC.DD/32 -i lo -j ACCEPT
-A INPUT -d 192.168.0.255/32 -i ppp0 -p udp -m udp --dport 135:139 -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 67 -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.11/32 -i eth0 -o ppp0 -p tcp -m tcp --dport 60179 -j ACCEPT
-A FORWARD -s 192.168.0.57/32 -i eth0 -o ppp0 -p tcp -m multiport --dports 23,25,110,443,3389,2000,4490,10153,12992 -j ACCEPT
-A FORWARD -s 192.168.0.57/32 -i eth0 -o ppp0 -p tcp -m tcp --dport 60179 -j ACCEPT
-A FORWARD -s 192.168.0.1/32 -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.1/32 -i eth0 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.0.9/32 -j ACCEPT
-A OUTPUT -s AA.BB.CC.DD/32 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -s 192.168.0.1/32 -o ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.1/32 -o ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
COMMIT
# Completed on Tue Nov 30 13:47:58 2010
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 13:47:58 2010
*mangle
:PREROUTING ACCEPT [1183124:941726775]
:INPUT ACCEPT [208375:124806127]
:FORWARD ACCEPT [973785:816454912]
:OUTPUT ACCEPT [197122:135517827]
:POSTROUTING ACCEPT [1170930:951975649]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 30 13:47:58 2010

[AnrDaemon]

-t nat -I PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Все -m state замени на -m conntrack
Из -i lo убери -s вообще.

[tagilchanin]

-t nat -I PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Все -m state замени на -m conntrack
Из -i lo убери -s вообще.

А можно получит разъяснение для чего это?

[AnrDaemon]

-A INPUT -s 192.168.0.9/32 -i lo -j ACCEPT
-A INPUT -s AA.BB.CC.DD/32 -i lo -j ACCEPT

Это же бред. Что ты пишешь ты хоть видишь?
Пользователь решил продолжить мысль 30 Ноября 2010, 14:33:57:

-t nat -I PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Все -m state замени на -m conntrack
Из -i lo убери -s вообще.

А можно получит разъяснение для чего это?

Это стандартная оптимизация производительности фильтра и защита от собственной глупости.
А по поводу модуля state тут совсем недавно всё очень поднобно объясняли - это доисторическая подделка под conntrack. Где-то там обсуждали https://forum.ubuntu.ru/index.php?topic=20334.960
Пользователь решил продолжить мысль 30 Ноября 2010, 14:41:34:Хмм... Что-то я не очень понимаю твои фильтры. У тебя сколько сетевых карт ваще?

[tagilchanin]

...Хмм... Что-то я не очень понимаю твои фильтры. У тебя сколько сетевых карт ваще?....

Две сетевые карты. Инет получаю по pppoe.

Все осталось от старого админа, ща пытаюсь разобраться как то.

[AnrDaemon]

Т.е. eth1 - внешняя?
ifconfig -a
сбрось.

[tagilchanin]

Т.е. eth1 - внешняя?
ifconfig -a
сбрось.

Верно
вот ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0  Link encap:Ethernet  HWaddr 00:15:17:d5:53:55 
          inet addr:192.168.0.9  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::215:17ff:fed5:5355/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:534495007 errors:0 dropped:0 overruns:0 frame:0
          TX packets:401395170 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2538560694 (2.5 GB)  TX bytes:482639218 (482.6 MB)
          Memory:e1a00000-e1a20000

eth1  Link encap:Ethernet  HWaddr 00:15:17:d5:53:53 
          inet6 addr: fe80::215:17ff:fed5:5353/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:393457468 errors:0 dropped:0 overruns:0 frame:0
          TX packets:505306935 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:2504425232 (2.5 GB)  TX bytes:771469046 (771.4 MB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:350423 errors:0 dropped:0 overruns:0 frame:0
          TX packets:350423 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:32840078 (32.8 MB)  TX bytes:32840078 (32.8 MB)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:AA.BB.CC.DD  P-t-P:178.251.136.6  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:157796304 errors:0 dropped:0 overruns:0 frame:0
          TX packets:258325201 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1051465494 (1.0 GB)  TX bytes:1711697723 (1.7 GB)

[AnrDaemon]

*Кивает* всё боле-мене понятно, кроме одного.
Зачем ты 53 порт куда-то перенаправлять собрался?
Вы сами интернет-зону держите?

[tagilchanin]

*Кивает* всё боле-мене понятно, кроме одного.
Зачем ты 53 порт куда-то перенаправлять собрался?
Вы сами интернет-зону держите?

Да хотим ДНС у себя поднять для обслуживания своего домена.

И вопрос про проброс портов, я правильно сделал или нет? Если нет как правильно делать. Ответь пжл.

[AnrDaemon]

-A INPUT -d 192.168.0.1/32 -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT

Это никогда работать не будет.
Где DNS сервер стоит? На 0.1 ?

[tagilchanin]

-A INPUT -d 192.168.0.1/32 -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT

Это никогда работать не будет.
Где DNS сервер стоит? На 0.1 ?

Нет он стоит на 0.9 (т.е. он же является шлюзом)

Пользователь решил продолжить мысль 30 Ноября 2010, 15:53:01:

-A INPUT -d 192.168.0.1/32 -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT

Это никогда работать не будет.
Где DNS сервер стоит? На 0.1 ?

Это по запарке не то подставил

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

*mangle
:PREROUTING ACCEPT [1183124:941726775]
:INPUT ACCEPT [208375:124806127]
:FORWARD ACCEPT [973785:816454912]
:OUTPUT ACCEPT [197122:135517827]
:POSTROUTING ACCEPT [1170930:951975649]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*nat
:PREROUTING ACCEPT [23447:1584533]
:POSTROUTING ACCEPT [8654:577132]
:OUTPUT ACCEPT [8447:561564]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d AA.BB.CC.DD/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891
-A PREROUTING -i eth0 ! -d <localIP> -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source AA.BB.CC.DD
COMMIT

*filter
:INPUT DROP [3717:1104377]
:FORWARD DROP [8851:1775097]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i eth0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT

Вроде всю грязь выскреб. Пробуй.

[tagilchanin]

Маленько не то, я по ошибке указал 192.168.0.1. ДНС не там, а на этом же сервере. Т.е. мне нужно локально открыть порт, а не перенаправлять его во внутрь локальной сети.