HOWTO: Iptables для новичков

[fisher74]

А локальная сеть на eth0 сервера живёт? Предполагаемый клиент тоже со стороны eth0 растёт?
Если оба твета да, то, ИМХО, сервер не при чём

[SergaNT404]

По моему прошлому посту : https://forum.ubuntu.ru/index.php?topic=20334.msg981857#msg981857 спасибо, maroshka за помощь - в конфиге действительно было полно лажи. Конфиг переделал, теперь он такой

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
#очищаем настройки
#
iptables -X
iptables -t nat -X
iptables -t mangle -X
#
#Подгрузка необходимых модулей
#
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
#
#политика по умолчанию
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -p OUTPUT DROP
#
#раздаём инет в локалку четез nat:
#
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING --source 192.168.0.0/24 -o eth0 -j SNAT --to-source 213.xxx.yyy.zzz
#
#Разрешим входящие соединения на маршрутизатор из локальной сети :
#
iptables -A INPUT -i eth1 --source 192.168.0.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#
#Разрешим маршрутизатору отвечать компьютерам в локальной сети:
#
iptables -A OUTPUT -o eth1 --destination 192.168.0.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из локальной сети в инет для установки соединений и установленных соединений:
#
iptables -A FORWARD -i eth1 --source 192.168.0.0/24 --destination 0.0.0.0/0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из интернета в локальную сеть только для установленных соединений:
#
iptables -A FORWARD -i eth0 --destination 192.168.0.0/24 -m conntrack --ctstate ESTABLISHED -j ACCEPT
#
#открываем порт для торрент-клиента на отдельной машине:
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 29670 -j DNAT --to-destination 192.168.0.77
iptables -A FORWARD -p tcp -i eth0 --dport 29670 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
#
#разрешаем трассировку udp
#
iptables -A FORWARD -p udp -j ACCEPT
#
#Почта_pop3
#
iptables -A INPUT -i eth0 -p tcp --dport 110 -m conntrack --ctstate NEW -j ACCEPT
#
#Почта_smtp
#
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
#
#Почта imap
#
iptables -A INPUT -i eth0 -p tcp --dport 143 -m conntrack --ctstate NEW -j ACCEPT
#
#разрешаем вход по https
#
iptables -A INPUT -i eth0 -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
#

вроде ошибок нет, но по-прежнему на сервере не залогиниться    и опять же если INPUT и FORWARD утановить в ACCEPT всё работает. Видимо чего-то не хватает в конфиге  Просветите, пожалуйста, уважаемое сообщество, что я опять не так делаю !!!

[kolyan_k]

iptables-save полностью показывай.

вот  что  выше  у меня  все  что  есть....

А локальная сеть на eth0 сервера живёт? Предполагаемый клиент тоже со стороны eth0 растёт?
Если оба твета да, то, ИМХО, сервер не при чём

локальная   сеть на  eth0,  предпологаемый  клиент из  eth0  пытается  попасть по внешнему  ip   тоесть на  eth1

[fisher74]

У Вас в правиле портфорварда чётко указан input-interface eth1. Клиент из локальной сети туда не попадёт (без сторонней помощи из вне).

[maroshka]

По моему прошлому посту : https://forum.ubuntu.ru/index.php?topic=20334.msg981857#msg981857 спасибо, maroshka за помощь - в конфиге действительно было полно лажи. Конфиг переделал, теперь он такой

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
#очищаем настройки
#
iptables -X
iptables -t nat -X
iptables -t mangle -X
#
#Подгрузка необходимых модулей
#
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
#
#политика по умолчанию
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -p OUTPUT DROP
#
#раздаём инет в локалку четез nat:
#
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING --source 192.168.0.0/24 -o eth0 -j SNAT --to-source 213.xxx.yyy.zzz
#
#Разрешим входящие соединения на маршрутизатор из локальной сети :
#
iptables -A INPUT -i eth1 --source 192.168.0.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#
#Разрешим маршрутизатору отвечать компьютерам в локальной сети:
#
iptables -A OUTPUT -o eth1 --destination 192.168.0.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из локальной сети в инет для установки соединений и установленных соединений:
#
iptables -A FORWARD -i eth1 --source 192.168.0.0/24 --destination 0.0.0.0/0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из интернета в локальную сеть только для установленных соединений:
#
iptables -A FORWARD -i eth0 --destination 192.168.0.0/24 -m conntrack --ctstate ESTABLISHED -j ACCEPT
#
#открываем порт для торрент-клиента на отдельной машине:
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 29670 -j DNAT --to-destination 192.168.0.77
iptables -A FORWARD -p tcp -i eth0 --dport 29670 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
#
#разрешаем трассировку udp
#
iptables -A FORWARD -p udp -j ACCEPT
#
#Почта_pop3
#
iptables -A INPUT -i eth0 -p tcp --dport 110 -m conntrack --ctstate NEW -j ACCEPT
#
#Почта_smtp
#
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
#
#Почта imap
#
iptables -A INPUT -i eth0 -p tcp --dport 143 -m conntrack --ctstate NEW -j ACCEPT
#
#разрешаем вход по https
#
iptables -A INPUT -i eth0 -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
#

вроде ошибок нет, но по-прежнему на сервере не залогиниться    и опять же если INPUT и FORWARD утановить в ACCEPT всё работает. Видимо чего-то не хватает в конфиге  Просветите, пожалуйста, уважаемое сообщество, что я опять не так делаю !!!

не, это удаление:
#очищаем настройки
iptables -X
iptables -t nat -X
iptables -t mangle -X
#
очистка это с  -F, ну почитайте хотябы немного туториал по iptables
и еще раз: На каком интерфейсе висит apache и почта? смотрят ли эти сервисы в локалку?, может просто сервисы настроены на внешний IP? из нутри сети есть пинг на внешний IP? если пинга нет, то возможно надо дописать правила входа/выхода на данный IP
Посмотрите какие порты на каких IP слушают ваши сервисы, например: netstat -atnp
В принципе в FORWARD можно и -o использовать, но лучше вместе с -i. Это так, размышления.
Клиенты которые не могут авторизироваться - это кто? Те кто внутри сети или из мира?
Если внутри сети и сервисы слушают порты на внешнем IP работать и не будет с такими правилами.
Правило:
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
Это что? т.е. исходящий траффик с eth0, tcp протокол на 25 порт может надо с 25 порта?
Если всетаки сервисы слушают порты на внешнем IP и до этих сервисов не могут достучаться из локалки, то надо в правилах создать в INPUT и в OUTPUT по принципу для INPUT приходит на внутренний интерфейс для внешнего IP, для OUTPUT выходит с внутреннего интерфейса, внешнего IP для внутренней сети. Вроде так.

[kolyan_k]

У Вас в правиле портфорварда чётко указан input-interface eth1. Клиент из локальной сети туда не попадёт (без сторонней помощи из вне).

а не  подскажите  как  это реализовать?

[flash1974]

подсажите как открыть порты 49152-65535 (для торрент клиента)
в guarddog. я сделал так:

(Нажмите, чтобы показать/скрыть)

 
и разрешил правило в протоколах. треккер показывает что
порт закрыт, или как сбросить настройки по дефолту что бы после перезагрузки они сохранились.

[fisher74]

А не по udp-ли протоколу работает торрент?

[flash1974]

А не по udp-ли протоколу работает торрент?

сначало подключал через udp протокол такая же беда, думал что не правильно.
решил сгенерировать скрипт iptables Здесь теперь не могу удалить правила которые создала эта "собака"
команды

Код: [Выделить]

iptables -t filter -L
iptables -t nat -L
iptables -t mangle -L
не помогают.

решение нашёл может кому поможет. удалил guarddog из синаптика, поиск по корневой папке удалил всё что связано по названию, apt-get autoremove, apt-get autoclean, перезагруз и

Код: [Выделить]

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT потом Сюда

[AnrDaemon]

L(ist)
...........

[chikatillo]

настроил logchek, терь все стремные события на сервере приходят мне на почту:
Feb  1 02:56:02 server kernel: [60175.543589] inet_in DROP: IN=ppp0 OUT= MAC= SRC=109.120.131.194 DST=** LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=33841 DF PROTO=TCP SPT=45445 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Feb  1 02:56:05 server kernel: [60178.543796] inet_in DROP: IN=ppp0 OUT= MAC= SRC=109.120.131.194 DST=** LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=33842 DF PROTO=TCP SPT=45445 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Feb  1 02:56:11 server kernel: [60184.543522] inet_in DROP: IN=ppp0 OUT= MAC= SRC=109.120.131.194 DST=** LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=33843 DF PROTO=TCP SPT=45445 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Feb  1 02:56:23 server kernel: [60196.543450] inet_in DROP: IN=ppp0 OUT= MAC= SRC=109.120.131.194 DST=** LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=33844 DF PROTO=TCP SPT=45445 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0

Объясните момент:
Много чего подобного что логит iptables только разные айпи SRC и порты, это происходит скан сервера и атаки вирусами?

[AnrDaemon]

Ну, по Dest. Port можно предположить, что на тебе опен релей ищут.

[eerome]

А вы случаем не подскажете, как вот такое исправить?

(Нажмите, чтобы показать/скрыть)

FATAL: Error inserting ip_tables (/lib/modules/2.6.35-24-generic-pae/kernel/net/ipv4/netfilter/ip_tables.ko): Operation not permitted
iptables v1.4.4: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
FATAL: Error inserting ip_tables (/lib/modules/2.6.35-24-generic-pae/kernel/net/ipv4/netfilter/ip_tables.ko): Operation not permitted
iptables v1.4.4: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.

[fisher74]

применить sudo

[eerome]

применить sudo

Вместе  с какой командой?))
Это сообщение у меня появляется после запуска системы(