HOWTO: Iptables для новичков

[Lion-Simba]

Код: [Выделить]

-F f3to2
-A f3to2 -j ACCEPT
или

Код: [Выделить]

-F f3to2
-P f3to2 ACCEPT
или
Правило в цепочке FORWARD, которое перенаправляет пакеты в цепочку f3to2, заменить на -j ACCEPT.

[denrider]

Надо же, так просто... 
А я там с сорцами, дестинэйшэнами мутил...

Спасибо большое, всё получилось.

[l1nker]

Есть сервер, Ubuntu-Server 8.04.1
Две сетевушки. Одна глядит в инет, другая в домашнюю локалку.

Инет раздается через ipmasq.
Стоит веб-сервер и пр.

Требуется:
1. Закрыть доступ из инета ко всему, кроме, открыть 1 порт для торрента + открыть SSH
2. Открыть доступ на веб-сервер, фтп-сервер для нескольких диапозонов IP.

Причем, необходимо закрыть доступ из инета на сайт так, чтобы доступа на сайт то не было, но счетчик от liveinternet, например, работал.
Как такое организовать?


Расскажите пожалуйста, как мне это сделать, как правила необходимо прописать в iptables?

[TrEK]

Есть сервер, Ubuntu-Server 8.04.1
Две сетевушки. Одна глядит в инет, другая в домашнюю локалку.

Инет раздается через ipmasq.
Стоит веб-сервер и пр.

Требуется:
1. Закрыть доступ из инета ко всему, кроме, открыть 1 порт для торрента + открыть SSH
2. Открыть доступ на веб-сервер, фтп-сервер для нескольких диапозонов IP.

Причем, необходимо закрыть доступ из инета на сайт так, чтобы доступа на сайт то не было, но счетчик от liveinternet, например, работал.
Как такое организовать?


Расскажите пожалуйста, как мне это сделать, как правила необходимо прописать в iptables?

1. iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 22 -j ACCEPT
    iptables -A FORWARD -p tcp --dport [порт торрента] -j ACCEPT
    iptables -A FORWARD -p tcp --sport [порт торрента] -j ACCEPT
    iptables -A FORWARD -d [сеть/маска] -j DROP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -j DROP
2. iptables -A FORWARD -d [айпи сервера/маска] -s [сеть/маска] -p tcp -m multiport --dport 80,8080,443 -j ACCEPT
    iptables -A FORWARD -d [айпи сервера/маска] -s [сеть/маска] -p tcp -m multiport --dport 20,21 -j ACCEPT

[l1nker]

TReK:
Спасибо огромнейшее!!! Особенно за то что не отправил в мануал, так как мне пока весь мануал изучать не охота, а настроить надо, спасибо!

[Vetal_krot]

У меня вроде все уже заработало, теперь просьба помоч написать скрип что б востанавливал все настройки iptables после перезагрузки системы.

[InkVisitor]

2Vetal_krot
http://runtu.org/articles-manuals/34-settings-systems/54--ubuntu-iptables - неплохое решение. Сам оное юзаю.

[TrEK]

У меня вроде все уже заработало, теперь просьба помоч написать скрип что б востанавливал все настройки iptables после перезагрузки системы.

пишешь iptables-save -c >  /etc/iptables-save
заходишь в файл /etc/rc.local перед строкой exit 0 пишешь cat /etc/iptables-save | iptables-restore -c

Усё.

[l1nker]

Есть вопросик.. Как мне вернуться к исходным настройкам IPTables, те что были после установки системы и настройки инета, всякие там 127.0.0.1 еще что-то, чтобы мне все мои настройки сбросить, и начать настройку заново?

[InkVisitor]

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

[l1nker]

спс

[Heroin]

Подскажите
Есть шлюз на Ubuntu сервер 8,04 - 2 сетевых.
Поменял провайдера интернет и теперь немного изменились настройки, что то не пойму как теперь подключить.
до смены было
1 сетевая внешний ИП который дал провайдет
78.78.78.12 (например)
255,255,255,0
78.78.78.11
2 сетевая смотри в сетку
200,1,80,1
255,255,255,0

Всеит делами занимается ИП тейблс

теперь появился АДСЛ канал и модем.
модем настроен роутером ENET ENCAP, модем имеет адрес 192,168,1,1

теперь я подключаю модем к шлюзу для этого на первую сетевую вместо

1 сетевая внешний ИП который дал провайдет
78.78.78.12 (например)
255,255,255,0
78.78.78.11

192,168,1,2
255,255,255,0
192,168,1,1

вторая сетевая отстается без изменения.

Как теперь настроить пробросы чтобы 2 сетевая работала через 1ю?

вот тут что указать
# 1.1 Конфигурация интернет.
#

INET_IP="78.78.78.11"
INET_IFACE="eth0"
INET_BROADCAST="78.78.78.254"

# 1.2 Конфигурация локальной сети.
#

LAN_IP="200.1.80.254"
LAN_IP_RANGE="200.1.80.0/24"
LAN_BROADCAST_ADDRESS="200.1.80.255"
LAN_IFACE="eth1"
тут все также остается, видимо нужно что то еще поднастроить. помогите!

[InkVisitor]

Правь /etc/network/interfaces

Код: [Выделить]

        address 192.168.1.2
        netmask 255.255.255.0
        gateway 192.168.1.1

запускай

Код: [Выделить]

pppoeconf

и отвечай на вопросы

[ipetrofan]

Помогите ! У меня есть ком с ПО ( ubuntu 8.04 ) . На нем есть 2 сетевые карты . 1- я есть выход в интернет через программу umt5 . 2 -я есть подключение к отдельной сети ( 192,168,1,0-192,168,7,254 ) мне нужно разделит интернет на несколько компов в сети ( например 192,168,3,0 192,168,4,1 ) как мне это сделать ?

Делал все по статье http://easylinux.ru/node/117 ( преждевременно отключив кабель на свиче  ( у нас в комнате стоит свич на 3 компа ) от сеточки ) т.е  у меня получилась сеть из 3 компов и сервака ( просто чтоб не раздавать на всех инет в сети ) . Но инета нет .
И ещё компы с серва пингуются номрально .

Код: [Выделить]

root@myhost:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.0     *               255.255.255.0   U     0      0        0 eth3
10.1.16.0       *               255.255.255.0   U     0      0        0 eth2
link-local      *               255.255.0.0     U     1000   0        0 eth2
default         10.1.16.1       0.0.0.0         UG    100    0        0 eth2


Код: [Выделить]

eth2      Link encap:Ethernet  HWaddr 00:21:91:20:9d:cf 
          inet addr:10.1.16.61  Bcast:10.1.16.255  Mask:255.255.255.0
          inet6 addr: fec0::1:221:91ff:fe20:9dcf/64 Scope:Site
          inet6 addr: fe80::221:91ff:fe20:9dcf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15371 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3040 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3428140 (3.2 MB)  TX bytes:592591 (578.7 KB)
          Interrupt:17 Base address:0xac00

eth3      Link encap:Ethernet  HWaddr 00:18:f3:85:d3:0f 
          inet addr:192.168.3.235  Bcast:192.168.3.255  Mask:255.255.255.0
          inet6 addr: fe80::218:f3ff:fe85:d30f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14603 errors:0 dropped:0 overruns:0 frame:0
          TX packets:147 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1186187 (1.1 MB)  TX bytes:15376 (15.0 KB)
          Interrupt:220 Base address:0x8000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1464 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1464 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:77356 (75.5 KB)  TX bytes:77356 (75.5 KB)


[l1nker]

Хай, сделал скрипт через EasyFWGen.
iptables.sh - http://paste.org.ru/?15cguh

Обратите внимание на # tcp_inbound chain.

Там я хочу разрешить доступ на те порты только для определенных диапазонов, указал их, а при запуске скрипта, выдает..

root@centerlocal:~# /etc/init.d/iptables.sh start
Loading kernel modules ...
net.ipv4.ip_forward = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.all.log_martians = 1
Flushing Tables ...
Create and populate custom rule chains ...
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `–s'
Try `iptables -h' or 'iptables --help' for more information.
Process INPUT chain ...
Process FORWARD chain ...
Process OUTPUT chain ...
Load rules for nat table ...
Load rules for mangle table ...

Что это за ошибки, как исправить? Самое интересное, что все, помоему это работает, хотя хз, что у меня не так?