Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Iptables блокировка онлайн игр  (Прочитано 1560 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн CynicRus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 78
    • Просмотр профиля
Iptables блокировка онлайн игр
« : 01 Февраля 2012, 12:32:51 »
Доброго времени суток господа. Имеется - шлюз, с большим количеством интерфейсов. Eth2 - внешний с инетом, eth0 - одна из локалок. У eth0 - адресация 192.168.11.x, известно что 192.168.11.251 - часто играется в онлайн игрушки. Каким образом для одного этого ip - оставить лишь несколько открытых tcp портов?
"Only two things are infinite, the universe and human stupidity... and I'm not sure about the universe."  -- Albert Einstein

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
Re: Iptables блокировка онлайн игр
« Ответ #1 : 01 Февраля 2012, 12:48:39 »
Закрыть все остальные и оставить только несколько открытых разрешенных.

Не серьезно, но еще вы бы выложили текущие правила, как там у вас сделано - разрешено все и всем, разрешено все что не запрещено, запрещено все что не разрешено?
Если это не секрет.

Бери больше, кидай дальше

Оффлайн CynicRus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 78
    • Просмотр профиля
Re: Iptables блокировка онлайн игр
« Ответ #2 : 01 Февраля 2012, 12:55:46 »
Вот таким образом оно функционирует сейчас:
iptables --flush

iptables --table nat --flush

iptables --table mangle --flush

iptables --delete-chain

iptables --table nat --delete-chain
iptables -A INPUT -i lo -j ACCEPT
#iptables -P INPUT ACCEPT
#iptables -P FORWARD DROP
#WebRes
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 42424,8009,8010,1434,1954
#vnc
iptables -A INPUT -i eth0 -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,25,110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 4200 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 11777 -j DROP
iptables -A INPUT -i eth2 -p udp --dport 11777 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 11777 -j DROP
iptables -A INPUT -m iprange --src-range 31.25.225.0-31.25.255.255 -j DROP
iptables -A INPUT -m iprange --src-range 31.25.224.0-31.25.224.255 -j DROP
iptables -A INPUT -m iprange --src-range 173.57.102.0-173.57.102.255 -j DROP
iptables -t filter -A INPUT -i eth0 -p udp -m multiport --dport 11777,60659 -j DROP
#откроем радминовский порт
iptables -A INPUT -i eth2 -p tcp --dport 4899 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp -m multiport --dport 4900,4901,4903,4904,3434 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 5938 -j DROP
iptables -A INPUT -i eth2 -p tcp -m multiport --dport 13389,44082,891,944,571,838 -j ACCEPT
#for restaurant
iptables -A INPUT -i eth2 -p tcp -m multiport --dport 12001,12002,12003,12004,12005,12006,12007,12008,12009,12010 -j ACCEPT
#iptables -A FORWARD -i eth0 -s 192.168.11.205 -o eth2 -j DROP
#iptables -A FORWARD -i vlan2 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.11.1-192.168.11.99 -m multiport --dport 80,8080,5190 -j DROP
#iptables -A FORWARD -p tcp -s 192.168.11.132 -m multiport --dport 80,8080,5190 -j DROP
#iptables -A FORWARD -i vlan3 -o eth2 -j ACCEPT
#iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.100-192.168.11.204 -o eth2 -j  ACCEPT
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.100-192.168.11.254 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.250-192.168.11.253 -p udp -m multiport --dport 11777,60659 -j DROP
#интернет-кафе
iptables -A FORWARD -i eth3 -o eth2 -j ACCEPT
#делаем недоступными локалку Веги от инет кафе.
iptables -A FORWARD -i eth3 -o eth0 -j DROP
iptables -A FORWARD -i eth0 -o eth3 -j DROP
#разрешаем общение с кассой
iptables -A FORWARD -i eth3 -s 10.0.0.2 -o eth0 -d 192.168.11.150 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.11.150 -o eth3  -d 10.0.0.2 -j ACCEPT
#режем скорость в инет-кафе
#iptables -A INPUT -p tcp -i eth3 -m iprange --src-range 10.0.0.2-10.0.0.99
#ресторан
iptables -A FORWARD -i eth4 -o eth2 -j ACCEPT
# NAT
#Проброс Радмина
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4899 -j DNAT --to-destination 192.168.11.7:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4900 -j DNAT --to-destination 192.168.11.33:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4901 -j DNAT --to-destination  192.168.11.210:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4903 -j DNAT --to-destination 192.168.11.6:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4904 -j DNAT --to-destination 192.168.11.112:4899
#WebRes
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 8010 -j DNAT --to-destination 192.168.11.7:8010
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 8009 -j DNAT --to-destination 192.168.11.7:8009
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1434 -j DNAT --to-destination 192.168.11.7:1434
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1954 -j DNAT --to-destination 192.168.11.7:1954
#проброс ресторана

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 13389 -j DNAT --to-destination 192.168.210.2:13389
iptables -t nat -A PREROUTING -p tcp -d 192.168.210.1 --dport 3434 -j DNAT --to-destination 192.168.11.210:3434
#опять для ресторана
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12001 -j DNAT --to-destination 192.168.210.2:12001
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12002 -j DNAT --to-destination 192.168.210.2:12002
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12003 -j DNAT --to-destination 192.168.210.2:12003
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12004 -j DNAT --to-destination 192.168.210.2:12004
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12005 -j DNAT --to-destination 192.168.210.2:12005
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12006 -j DNAT --to-destination 192.168.210.2:12006
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12007 -j DNAT --to-destination 192.168.210.2:12007
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12008 -j DNAT --to-destination 192.168.210.2:12008
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12009 -j DNAT --to-destination 192.168.210.2:12009
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12010 -j DNAT --to-destination 192.168.210.2:12010
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1494 -j DNAT --to-destination 192.168.11.165:1494
#РїСЂРѕР±СЂРѕСЃ r-keeper
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3434 -j DNAT --to-destination 192.168.11.210:3434
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2598 -j DNAT --to-destination 192.168.11.165:2598
#Проброс кассы из инет кафе
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.1 --dport 5900 -j DNAT --to-destination 192.168.11.150:5900
#iptables -A FORWARD -i eth2 -d 192.168.210.2 -p tcp --dport 13389 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.11.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.210.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.150 --dport 5900 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.210.0/24 -d 192.168.210.2 -m multiport --dport 13389,12001,12002,12003,12004,12005,12006,12007,12008,12009,12010,3434 -j SNAT --to-source 192.168.210.1
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d  192.168.11.7 -m multiport --dport 4899,8010,8009,1434,1954 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.112 -m multiport --dport 4899,4904 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.33 -m multiport --dport 4899,4900 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.210 -m multiport --dport 4899,4901,3434 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.6 -m multiport --dport 4903,4899 -j SNAT --to-source 192.168.11.254
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -i eth2 -o eth0 -j REJECT
iptables -A FORWARD -i eth3 -o eth0 -d 192.168.11.150 -p tcp --dport 5900 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.7 -p tcp --dport 4899 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.33 -p tcp -m multiport --dport 4899,4900 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.210 -p tcp -m multiport --dport 3434,4899,4901 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.7 -p tcp -m multiport --dport 4903,4899,8009,8010,1433,1434,1954 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth4 -d 192.168.210.2 -p tcp -m multiport --dport 13389,12001,12002,12003,12004,12005,12006,12007,12008,12009,12010 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.112 -p tcp -m multiport --dport 4899,4904 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth0 -d  192.168.11.0/24 -p tcp -m multiport --dport 1465 -j DNAT --to 192.168.11.254:22
#iptables -A FORWARD -s  192.168.11.251 -d -m iprange --src-range 31.25.224.1-31.25.224.255 -j DROP
iptables -A OUTPUT -o eth2 -p udp --sport 11777 -j DROP
iptables -A OUTPUT -o eth0 -p udp --sport 11777 -j DROP

"Only two things are infinite, the universe and human stupidity... and I'm not sure about the universe."  -- Albert Einstein

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
Re: Iptables блокировка онлайн игр
« Ответ #3 : 01 Февраля 2012, 13:30:54 »
Полагаю нужно вставить 2 правила -- сперва список разрешенных потом все остальное дропать
### ads
iptables -A FORWARD -i eth0 -s 192.168.11.251 -o eth2 -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.11.251 -o eth2 -p tcp -j DROP
###
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.100-192.168.11.254 -o eth2 -j ACCEPT
#
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.250-192.168.11.253 -p udp -m multiport --dport 11777,60659 -j DROP
iptables -A FORWARD -i eth0 -o eth3 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.11.150 -o eth3  -d 10.0.0.2 -j ACCEPT
###


Я еще позволю себе дать вам совет:
В скрипте все INPUT'ы FORWARD'ы  PREROUTING и .т.п. сгруппировать получше - а то немного разбросано
а между всеми FORWARD так же их упорядочить по -i интерфейсам а то у вас сначала eth2 потом eth3 снова eth2
Это так для удобства чтения, чтобы не запутаться

P/s: В курсе что это правило
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.250-192.168.11.253 -p udp -m multiport --dport 11777,60659 -j DROPбудет распространяется на все интерфейсы кроме eth2
« Последнее редактирование: 01 Февраля 2012, 13:35:27 от terrible_user »
Бери больше, кидай дальше

Оффлайн CynicRus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 78
    • Просмотр профиля
Re: Iptables блокировка онлайн игр
« Ответ #4 : 01 Февраля 2012, 13:52:30 »
Сработало, благодарствую.

Относительно группировки - так и сделано в рабочем, это так сказать - отладочная версия.

Да, в курсе.

"Only two things are infinite, the universe and human stupidity... and I'm not sure about the universe."  -- Albert Einstein

 

Страница сгенерирована за 0.047 секунд. Запросов: 25.