iptables(помогите разобраться с открытием порта)

[wenzi]

И снова здравствуйте, в прошлый раз просил помочь с принтером, не помогли, но правило все таки сделал, потом прочитал все еще раз и сделал тоже самое но без скрипта, и все равно остались вопросы =)

вот мои правила

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh

#interface
IP="10.61.16.27"
IF="eth0"
IPBRD="10.61.16.255"

IP2="172.168.0.1"
IPR="172.168.0.1/29"
IF2="eth1"
IF2BRD="172.168.0.255"

IP3="11.11.11.27"
IPR3="11.11.11.0/24"
IF3="eth0:1"

LO="127.0.0.1"
LOIF="lo"

IPT="/sbin/iptables"
#######################

#Clear
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

#load module
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_state
##############################
#for forward
echo "1" > /proc/sys/net/ipv4/ip_forward
###############################

#DEFAULTS
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
################################

#new chains
$IPT -N bad_tcp_packets
$IPT -N allowed
$IPT -N tcp_packets
$IPT -N udp_packets
$IPT -N icmp_packets

################################


#otbrasivaem plohie soedinenya
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#allowed

$IPT -A allowed -p TCP --syn -j ACCEPT
$IPT -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A allowed -p TCP -j DROP

#tcp

#$IPT -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 631 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 9100 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 445 -j allowed
$IPT -A tcp_packets -p TCP -s 0/0 --dport 139 -j allowed

#udp
$IPT -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT

#ping
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
#otbros input bad packets
$IPT -A INPUT -p tcp -j bad_tcp_packets

#chtobi begalo megdu ifaceami i ipshikami
$IPT -A INPUT -p ALL -i $IP2 -s $IPR -j ACCEPT
$IPT -A INPUT -p ALL -i $IP3 -s $IPR3 -j ACCEPT
$IPT -A INPUT -p ALL -i $LOIF -s $LO -j ACCEPT
$IPT -A INPUT -p ALL -i $LOIF -s $IP2 -j ACCEPT
$IPT -A INPUT -p ALL -i $LOIF -s $IP -j ACCEPT

#dlya DHCP
$IPT -A INPUT -p UDP -i $IP2 --dport 67 --sport 68 -j ACCEPT

#input packet

$IPT -A INPUT -p ALL -d $IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPT -A INPUT -p TCP -i $IF -j tcp_packets
$IPT -A INPUT -p UDP -i $IF -j udp_packets
$IPT -A INPUT -p ICMP -i $IF -j icmp_packets
#input IF3
$IPT -A INPUT -p ALL -d $IP3 -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPT -A INPUT -p TCP -i $IF3 -j tcp_packets
$IPT -A INPUT -p UDP -i $IF3 -j udp_packets
$IPT -A INPUT -p ICMP -i $IF3 -j icmp_packets


#limit paketov
$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level 4 --log-prefix "IPT INPUT packet died: "

#FORWARD

#ne davat proxodit plohim paketom tranzitom
$IPT -A FORWARD -p tcp -j bad_tcp_packets

# tranzit paketov dlya $IF2
$IPT -A FORWARD -i $IF2 -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

как видно я ж вроде открыл порты для Samba, но все равно не могу подключиться.
Без iptables всё работает.

почему ?

делал по http://www.opennet.ru/docs/RUS/iptables/

[AnrDaemon]

Это не правила, это скрипт, создающий правила.
iptables-save показывайте.

[fisher74]

и с какого адреса пытаетесь зайти на ресурс тоже озвучьте

[wenzi]

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [9397:1055543]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [1733:126004]
:POSTROUTING ACCEPT [1733:126004]
COMMIT
# Completed on Fri Jun 22 12:39:17 2012
# Generated by iptables-save v1.4.12 on Fri Jun 22 12:39:17 2012
*mangle
:PREROUTING ACCEPT [17752552:1006571530]
:INPUT ACCEPT [17752040:1006540184]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29012058:43379889745]
:POSTROUTING ACCEPT [29012346:43379923024]
COMMIT
# Completed on Fri Jun 22 12:39:17 2012
# Generated by iptables-save v1.4.12 on Fri Jun 22 12:39:17 2012
*filter
:INPUT DROP [19232:2017011]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [29012052:43379886373]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 172.168.0.0/29 -i 172.168.0.1 -j ACCEPT
-A INPUT -s 11.11.11.0/24 -i 11.11.11.27 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 172.168.0.1/32 -i lo -j ACCEPT
-A INPUT -s 10.61.16.27/32 -i lo -j ACCEPT
-A INPUT -i 172.168.0.1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 10.61.16.27/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -d 11.11.11.27/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0:1 -p tcp -j tcp_packets
-A INPUT -i eth0:1 -p udp -j udp_packets
-A INPUT -i eth0:1 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: "
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 113 -j allowed
-A tcp_packets -p tcp -m tcp --dport 631 -j allowed
-A tcp_packets -p tcp -m tcp --dport 9100 -j allowed
-A tcp_packets -p tcp -m tcp --dport 445 -j allowed
-A tcp_packets -p tcp -m tcp --dport 139 -j allowed
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Fri Jun 22 12:39:17 2012

< -- iptables-save
Пользователь решил продолжить мысль 22 Июня 2012, 12:42:07:

и с какого адреса пытаетесь зайти на ресурс тоже озвучьте

со своей подсети

[fisher74]

какой из трёх?

[wenzi]

какой из трёх?

ой сорри , 10.61.16.0/24

[wenzi]

может самбе еше какой то порт нужен, или открыть как то по другому нужно ?

[ivsatel]

wenzi,
Скорее всего, нужно начать с осмысленного исправления существующих правил iptables.
К примеру:

Код: [Выделить]

-A INPUT -s 172.168.0.0/29 -i 172.168.0.1 -j ACCEPTТакого быть не должно. Хотябы так:

Код: [Выделить]

-A INPUT -s 172.168.0.0/29 -d 172.168.0.1 -j ACCEPTНу и т.д.

[wenzi]

wenzi,
Скорее всего, нужно начать с осмысленного исправления существующих правил iptables.
К примеру:

Код: [Выделить]

-A INPUT -s 172.168.0.0/29 -i 172.168.0.1 -j ACCEPTТакого быть не должно. Хотябы так:

Код: [Выделить]

-A INPUT -s 172.168.0.0/29 -d 172.168.0.1 -j ACCEPTНу и т.д.

а разве на проверке он не должен ругаться ? когда я прописывал -ex, и было не правильно с иф-сами он ругался (то есть ставил вместо -i -d)
Пользователь решил продолжить мысль 25 Июня 2012, 14:57:59:и -i при iptables-save так и должен показывать !!!
Пользователь решил продолжить мысль 25 Июня 2012, 15:26:15:все сделал, оказывается не открыл еще udp порты 137:138