IPtables нужна помощь

[AnrDaemon]

Подумайте ещё раз
Не с позиции "что нужно добавить", а "что это вообще даст".

[admin4ek]

я уже запутался

[AnrDaemon]

Карта для распутывания: http://www.docum.org/docum.org/kptd/

[admin4ek]

че-то не очень помогла((

[AnrDaemon]

Ну, представьте себя пакетом. Как TCP/IP стек работает - надеюсь, в курсе?

[admin4ek]

я то имею представление, как на проверки тыкать пакеты и фильтровать их
Пользователь решил продолжить мысль 30 Мая 2011, 20:04:24:-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  пропускаем все, что идет по установленным соединениям
-A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT Здесь мы разрешаем пакеты, принимаемые по всем  протоколам  ESTABLISHED означает, что пакет принадлежит установленному соединению, а RELATED порождает новое соединение из уже существующего

[AnrDaemon]

state и conntrack - один и тот же модуль (начиная с 9.10 что ли)
-p ALL смысла не имеет вообще в 99,(9)% ситуаций.

[admin4ek]

может быть в этом то у меня и лажа, просто это все работало на 8,04 LTS я долго не переходил на другое, и чесно пожалел что перешел
Пользователь решил продолжить мысль 30 Мая 2011, 20:39:50:$IPTABLES -A FORWARD -p tcp --dport 80 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 9443 -i $LAN_IFACE -j ACCEPT
может чего-то такого нам не хватает??

[AnrDaemon]

Вы пытаетесь обсуждать абстрактную нехватку в вакууме.
Я же вам конкретно в правила пальцем тычу и говорю, чего не хватает.
У вас в filter/FORWARD первым правилом должно идти разрешение уже разрешенных пакетов.
А его нет...

[admin4ek]

вот с тоториала
REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и вышеуказанных. Для действия REDIRECT предусмотрен только один ключ
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 9443( вот пример от туда же)

[AnrDaemon]

вот с тоториала
REDIRECT

Что вы к редиректу привязались?

[admin4ek]

Вы пытаетесь обсуждать абстрактную нехватку в вакууме.
Я же вам конкретно в правила пальцем тычу и говорю, чего не хватает.
У вас в filter/FORWARD первым правилом должно идти разрешение уже разрешенных пакетов.
А его нет...

я понял, Вы имеете виду, что мы разрешили порты а дальше мы их не пустили

[AnrDaemon]

Ясно. Нужна кардинальная помощь...
Проблема номер один.
Связка

Код: [Выделить]

-A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH
-A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443
в зависимости от того, что именно вы имели в виду, должна быть переписана до

Код: [Выделить]

-A PREROUTING -s 192.168.4.0/22 -j REDIR_AUTH
-A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443
либо

Код: [Выделить]

-A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH
-A REDIR_AUTH -j REDIRECT --to-ports 9443
(Домашнее задание - объяснить, почему так и для какой ситуации подходит каждый вариант.)

Проблема номер два.

Код: [Выделить]

*filter
:INPUT ACCEPT [986377:162116364]
:FORWARD DROP [177144:11571350]
:OUTPUT ACCEPT [967280:182023267]
-A FORWARD -d 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 78.154.170.75/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 78.154.170.75/32 -j ACCEPT
-A FORWARD -s 192.168.5.2/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 192.168.5.2/32 -j ACCEPT
COMMIT
На самом деле тут куча проблем, но начнём по порядку.
*filter
:INPUT DROP [0:0] (Да, да, ибо нефиг на шлюзе отставлять двери нараспашку.)
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Сбросить глупости
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
# Пропустить уже установленные соединения.
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Пропустить наши соединения
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.4.0/22 -j ACCEPT
# Пустить народ к северу
-A FORWARD -i $IF_LAN -s 192.168.4.0/22 -d 192.168.5.2/32 -j ACCEPT
-A FORWARD -i $IF_LAN -s 192.168.4.0/22 -d 78.154.170.75/32 -j ACCEPT
# Дать этим охламонам инет
-A FORWARD -i $IF_LAN -s 192.168.4.0/22 -o $IF_INET -j ACCEPT
-A FORWARD -i ppp+ -s 192.168.160.0/24 -o $IF_INET -j ACCEPT
# Поймать всё, что забыли.
-A INPUT -j LOG --log-prefix "FORGOT-INPUT "
-A FORWARD -j LOG --log-prefix "FORGOT-FORWARD "
COMMIT

P.S.
Ставим rsyslogd и фильтруем логи нетфильтра в отдельные файлы...

[admin4ek]

а $IPT -t nat -A POSTROUTING  -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75   что не нужно делать?

[AnrDaemon]

а $IPT -t nat -A POSTROUTING  -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75   что не нужно делать?

При чём тут это?... Не заставляйте меня думать о вас плохо.