IPtables нужна помощь

[victor00000]

Где взял скрипт или сам?

[admin4ek]

наковырял как понимал, то с чем как-то разобрался в свое время

[podkovyrsty]

Эммм, я что имел ввиду, вы когда подключены, то пакеты на сервер из какого интерфейса приходят?

[admin4ek]

192,168,5,3 - это шлюз

[victor00000]

правильно, а DNS ?

[podkovyrsty]

так, я окончательно запутался.
по 9443 порту тоже не отвечает?
Нет?
Тогда рисуйте полную схему работы на бумаге и обьясните ее нам (:
Потому что я запутался.

[victor00000]

да, какая программа сервер порт 9443? Можно терминал nc -l -p 9443 ждать если вывод стучить. =)))
Пользователь решил продолжить мысль 27 Мая 2011, 16:01:34:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

victor0000@victor0000:~$ cat ipttables-test
#!/bin/bash
iptables -t nat -F
iptables -t nat -X
iptables -t nat -A PREROUTING -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
iptables -A POSTROUTING -t nat -j MASQUERADE



Код: [Выделить]

victor0000@victor0000:~$ sudo ./ipttables-test
[sudo] password for victor0000:
victor0000@victor0000:~$ nc -l -p 9443
GET /index.php?board=27.0 HTTP/1.1
Host: forum.ubuntu.ru
Accept: text/html,text/css,multipart/mixed,application/java-archive, application/java, application/x-java-archive, text/vnd.sun.j2me.app-descriptor, application/vnd.oma.drm.message, application/vnd.oma.drm.content, application/vnd.oma.dd+xml, application/vnd.oma.drm.rights+xml, application/vnd.oma.drm.rights+wbxml, application/x-nokia-widget, */*
Accept-Charset: iso-8859-1, utf-8; q=0.7, *; q=0.7
Accept-Encoding: gzip, deflate, x-gzip, identity; q=0.9
Accept-Language: ru;q=1.0,en;q=0.5,de;q=0.5,uk;q=0.5,ro;q=0.5,bg;q=0.5,hu;q=0.5
Cookie: SMFCookie11=a%3A4%3A%7Bi%3A0%3Bs%3A5%3A%2238380%22%3Bi%3A1%3Bs%3A40%3A%22212d9116d927cc14a5bbdbc320af33125750dd65%22%3Bi%3A2%3Bi%3A1489341664%3Bi%3A3%3Bi%3A0%3B%7D; PHPSESSID=54u1rsks2eqjpkp78kjruk7ra6
Cookie2: $Version=1
If-Modified-Since: Fri, 27 May 2011 09:18:28 GMT
User-Agent: Mozilla/5.0 (SymbianOS/9.2; U; Series60/3.1 NokiaN95/21.0.016; Profile/MIDP-2.0 Configuration/CLDC-1.1 ) AppleWebKit/413 (KHTML, like Gecko) Safari/413
x-wap-profile: "http://nds1.nds.nokia.com/uaprof/NN95-1r100.xml"
X-Nokia-MusicShop-Version: 1.0.0
X-Nokia-MusicShop-Bearer: WLAN

victor0000@victor0000:~$


[admin4ek]

вот про IPN http://abills.net.ua/wiki/doku.php/abills:docs:modules:ipn:ru
вот про билллинг http://abills.net.ua/wiki/doku.php/abills:docs:modules:dv:ru
вот описание установки
сейчас прийду в офис до конца опишу, то у меня вчера сгорела видеокарта

[admin4ek]

Вот при таком варианте все как бы нормально, но редирект не происходит
но при том когда раскоменирую вот эту строчку не могу зайти на веб морду сервера   #$IPT -A FORWARD -j DROP, но она нужна для того чтоб пользуки попадали на редиренкт  как я понимаю.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
LAN_IFACE="eth0"
INET_IFACE="eth1"

IPT="/sbin/iptables"

# Начало скрипта
start_fw()
    {
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A INPUT -p TCP  --dport 22 -j ACCEPT

$IPT -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPT -A INPUT -p UDP -s 0/0  --dport 53 -j ACCEPT

$IPT -A INPUT -p TCP -s 0/0 --sport 80 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0  --dport 80 -j ACCEPT

$IPT -A FORWARD -p tcp -m tcp -s 0/0 --dport 80 -j ACCEPT


$IPT -A INPUT -p TCP -s 0/0 --sport 9443 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0  --dport 9443 -j ACCEPT



$IPT -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT


#Не авторизированых на авторизацию

#$IPT -A FORWARD -j DROP
$IPT -t nat -N REDIR_AUTH
$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
$IPT -t nat -A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH
$IPT -t nat -A POSTROUTING  -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75
#инет на PPPOe
$IPT -A FORWARD -i ppp+ -o eth1 -j ACCEPT
$IPT -I FORWARD -s 192.168.160.0/24 -d 0/0 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.160.0/24 -j ACCEPT

#Инет на IPN

$IPT -t nat -A POSTROUTING  -s 192.168.160.0/24 -j SNAT --to-source 78.154.170.75
}

проблема вся только в этих строках
#$IPT -A FORWARD -j DROP
$IPT -t nat -N REDIR_AUTH
$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
$IPT -t nat -A PREROUTING -s 192.168.5.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH
$IPT -t nat -A POSTROUTING  -s 192.168.5.0/22 -j SNAT --to-source 78.154.170.75

Когда я их раскоментирую, то без подключения к инету не могу попасть на веб и не происходит редирект

[podkovyrsty]

Потому что у вас 7-ая подсеть, а обратные пакеты, сквозь форвард, разрешены только для 160 подсети.

[admin4ek]

а как же тогда зделать чтоб перекидывало на страницу авторизации.
если я дам полный форвард, то получиться что все будут сидеть в инете на шару и без шейпера, нужно просто их перекидывать просто на веб


вот как на офф сайте пишут про авторизацию

(Нажмите, чтобы показать/скрыть)

Linux iptables
# Доступ к странице авторизации
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 9443
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j REDIRECT --to-ports 9443

# Закрыть доступ неактивизированым хостам
iptables -A FORWARD -j DROP

[podkovyrsty]

не не не, стоп.
вы когда ставите forward drop
у вас есть правила

$IPT -A FORWARD -p tcp -m tcp -s 0/0 --dport 80 -j ACCEPT
$IPT -I FORWARD -s 192.168.160.0/24 -d 0/0 -j ACCEPT

одно из них пропускает пакеты от клиентов к сереверу авторизации.

А обратно?
Обратно есть только для 160.0
$IPT -I FORWARD -s 0/0 -d 192.168.160.0/24 -j ACCEPT

Естесственно вы, из 7.0, не можете достучаться до 78.154.170.75

[admin4ek]

нет, это правило добавляется на сервере автоматически при активации пользователя отдельно для каждого айпи по средсвам PHP
Вот таким вот образом:

(Нажмите, чтобы показать/скрыть)

$IPT -I FORWARD -s %IP пользователя -d 0/0 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d %IP пользователя -j ACCEPT   
%IP пользователя -сервер автоматически подставляет при авторизации

а для 160 подсети она виртуальная просто одно правило для всей подсети. Т.к. к ней никто не получит доступ пока не подключится к ПППое.


и верху у меня правило $IPT -P FORWARD DROP   так что ворвард в дропе и все норм, только не перекидывает
Пользователь решил продолжить мысль 30 Мая 2011, 11:00:32:веб доступен как с локальной сети, так и с интрасети
Пользователь решил продолжить мысль 30 Мая 2011, 11:04:36:а мне получается нужно дать доступ подсети 192.168.4.0/22 только для 3-х портов и чтоб был редирект когда они пытаются войти без авторизации на любой сайт
Пользователь решил продолжить мысль 30 Мая 2011, 11:38:51:вот полностью правило с сервера которое он делает при активации

(Нажмите, чтобы показать/скрыть)

$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP";
$conf{IPN_FW_STOP_RULE}="sudo iptables -I FORWARD -s %IP -d 0/0 -j DROP; sudo iptables -I FORWARD -s 0/0 -d %IP -j DROP; sudo /usr/abills/libexec/linkupdown ipn down eth2 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q delete %NUM";

Пользователь решил продолжить мысль 30 Мая 2011, 11:57:26:https://forum.ubuntu.ru/index.php?topic=102843.msg777964#msg777964
вот пост в котором как бы все работало. Но не могу понять почему сейчас не работает(((
Пользователь решил продолжить мысль 30 Мая 2011, 12:01:39:вот тот мой старый скрипт который у меня был тогда еще, но на машине бьл только IPN

(Нажмите, чтобы показать/скрыть)

nano /etc/init.d/rc.iptables


#!/bin/bash
IPT="/sbin/iptables"
INTERFACE="eth1";

######## INTERFACES #########
INET="eth0"
############################################################################################
# Начало скрипта
start_fw()
    {
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state


# удаляем все имеющиеся правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle

$IPT -A FORWARD -j DROP

$IPT -t nat -N REDIR_AUTH

$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
$IPT -t nat -A PREROUTING -s 192.168.5.0/24 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH

$IPT -t nat -A POSTROUTING  -s 192.168.5.0/24 -j SNAT --to-source 81.25.225.234


}

[victor00000]

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

зачем?
Пользователь решил продолжить мысль 30 Мая 2011, 15:09:33:PHP apache настрои конф порт 9443 или не?

[podkovyrsty]

Так я вам пишу то о чем.
До авторизации вы пытаетесь достучаться до сервера на внешке с локального интерфейса, эти пакеты идут по цепочке форвард, а у вас там нет правила, которое бы вам это разрешало до авторизации.