HOWTO: Iptables для новичков

[fisher74]

с той, что при старте пытается изменить правила таблесов под пользовательской учёткой.

[eerome]

А как узнать эту команду?

[aSmile]

Напрячь память и вспомнить как делал автозагрузку таблиц.

[tagilchanin]

Добрый день.
Необходима помощь. Есть шлюз, который раздает инет. На нем проброшены порты во внутрь на почтовый сервер. Все работает, почта ходит  инет работает, но если я пытаюсь изнутри офиса по телнету зайти на внешний ip адрес или доменное имя меня выкидывает по timeout, порты пробрасывл вот так:

(Нажмите, чтобы показать/скрыть)

-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d XX.XX.XX.XX/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1

Подскажите что я делаю не так.

[aSmile]

я же вот тут написал, где надо почитать про это. Там довольно подробно и ясно описана ситуация на примере веб сервера.

[chikatillo]

Ну, по Dest. Port можно предположить, что на тебе опен релей ищут.

и че делать? Забить? все порты у меня закрыты, или ченить замутить что бы по айпишнику их банить?

[tagilchanin]

я же вот тут написал, где надо почитать про это. Там довольно подробно и ясно описана ситуация на примере веб сервера.

Ну не ругайтесь вы так сильно. Читаю спасибо за ссылку.
Спасибо то что нужно, все получилось.

[aSmile]

Ну не ругайтесь вы так сильно. Читаю спасибо за ссылку.
Спасибо то что нужно, все получилось.

Да я вроде не ругался Рад что помогло.

[AnrDaemon]

Ну, по Dest. Port можно предположить, что на тебе опен релей ищут.

и че делать? Забить? все порты у меня закрыты, или ченить замутить что бы по айпишнику их банить?

Можно добавить банилку перед логированием. Поищи по форуму SSH_CHECK.

[eerome]

Напрячь память и вспомнить как делал автозагрузку таблиц.

У меня не выходит вспомнить, подскажите, можно ли просмотреть историю изменений или может в каких то файлах просмотреть намеки на автозагрузку правил, которые не хотят выполняться без необходимых на то прав?
Просмотрев всю историю команд в терминале, я ничего не нашел, что бы говорило о подобном(

[kolyan_k]

День добрый!   не подскажите ...  правилом 
 iptables -A FORWARD -s 83.222.4.244 -j DROP  я  запрещаю полностью  доступ   к  этому  ip из  локальной  сети,  можно ли  сделать так  чтобы  запретить  не  всю  локалку  а  конкретный  ip??

[censor]

чот каша какая-то, нифига не понял.

[chikatillo]

Ну, по Dest. Port можно предположить, что на тебе опен релей ищут.

и че делать? Забить? все порты у меня закрыты, или ченить замутить что бы по айпишнику их банить?

Можно добавить банилку перед логированием. Поищи по форуму SSH_CHECK.

Т.Е мне нужно добавить user chains:
IPTABLES -N SSH_CHECK

и

-A INPUT -p tcp -m multiport --dports 22 -m conntrack --ctstate NEW -j SSH_CHECK
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --name SSH --rsource --set
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable

[kolyan_k]

чот каша какая-то, нифига не понял.

вот   пытаюсь   сделать
iptables -t nat -A PREROUTING --src 169.254.0.141 --dst 194.186.121.35 -p tcp --dport 80 -j DNAT --to-destination 169.254.0.10:83/index.html
блокируеться   сайт  с  ip 169.254.0.141 но не  перенапрвляется почему???

[censor]

вот   пытаюсь   сделать
iptables -t nat -A PREROUTING --src 169.254.0.141 --dst 194.186.121.35 -p tcp --dport 80 -j DNAT --to-destination 169.254.0.10:83/index.html
блокируеться   сайт  с  ip 169.254.0.141 но не  перенапрвляется почему???

а чой то вдрук ресурсы сервера в таблесах появились?
и настройте сеть нормальную 192,168 или 10 или 172,16