HOWTO: Iptables для новичков

[dr.Faust]

Ещё раз спасибо за то, что помогаете. Вы многое для меня прояснили. К сожалению в сети слишком много безграмотного материала. Корректируешь чужой скриптик под себя, корректируешь и в определённый момент понимаешь, что он полон правил которые например никогда не сработают так как выше есть более общее правило которое уже пропустило все пакеты могущие попасть под данное. Берешь другой, и понимаешь. что в нём закрыт весь UDP траф на 53 порт... Интересно автор его проверял? И т.д.

Придётся всё делать самому...

[AnrDaemon]

Придётся всё делать самому...

Это самый верный способ чему-то научиться

[Lion-Simba]

И ещё, почему conntrack, а не state? Чем-то лучше или пофиг?

В данном конкретном случае - без разницы. Просто я предпочитаю более современную версию модуля.

На современных ядрах это один и тот же модуль (который называется conntrack). state - это урезанный интерфейс к нему.

[dr.Faust]

Не понял как использовать ULOG - разъясните пожалуйста.
Просто LOG не очень удобно, а мне тем более - у меня драйвер wifi флудит в dmesg и никак не могу решить эту проблему...

[AnrDaemon]

ULOG не для этого предназначен.
А syslog чистится через настройки логгера.
Чем флудит? Отдельную тему и пример флуда под спойлер.

[dr.Faust]

https://forum.ubuntu.ru/index.php?topic=141806.msg1046824#msg1046824
Пользователь решил продолжить мысль 07 Марта 2011, 00:47:36:Ну вроде настроил и всё работает. Фух.
Спасибо!

Осталось несколько деталей прояснитья:
1 Кто это у меня такой умный:

Код: [Выделить]

INPUT packet died: IN=eth0 OUT= MAC= SRC=86.110.МОЙ.IP DST=255.255.255.255 LEN=159 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=139
INPUT packet died: IN=eth0 OUT= MAC= SRC=86.110.МОЙ.IP DST=86.110.МОЙ.IP+1 LEN=159 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=139
INPUT packet died: IN=wlan0 OUT= MAC= SRC=192.168.8.1 DST=192.168.8.255 LEN=159 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=139 Зачем он это рассылает?

2 Что это за пакеты:

Код: [Выделить]

INPUT packet died: IN=eth0 OUT= MAC=00:18:f3:fb:34:42:00:1b:d5:64:88:bf:08:00 SRC=КАОЙ.ТО.ВНЕШ.IP DST=86.110.МОЙ.IP LEN=93 TOS=0x00 PREC=0x80 TTL=45 ID=45752 PROTO=UDP SPT=непривилегированный_порт DPT=другой_непривилегированный_порт LEN=73 Кто их шлёт и зачем? Их полно с разных IP.
Есть такие же точно, но источник я а получатель внешний, но их немного и получатель всегда один и тот же.
Пользователь решил продолжить мысль 07 Марта 2011, 03:02:48:В итоге таблица такая вышла:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Mon Mar  7 01:55:10 2011
*nat
:PREROUTING ACCEPT [904:111626]
:POSTROUTING ACCEPT [174:16448]
:OUTPUT ACCEPT [174:16448]

-A POSTROUTING -s 192.168.8.0/24 -o eth0 -j SNAT --to-source 86.110.МОЙ.IP

COMMIT
# Completed on Mon Mar  7 01:55:10 2011
# Generated by iptables-save v1.4.4 on Mon Mar  7 01:55:10 2011
*filter
:INPUT DROP [973:123525]
:FORWARD ACCEPT [12:2292]
:OUTPUT ACCEPT [1526:238766]
:ICMP_BAD_PACKETS - [0:0]
:ICMP_PACKETS - [0:0]
:TCP_BAD_PACKETS - [0:0]
:TCP_PACKETS - [0:0]
:TCP_PORTS - [0:0]
:TCP_SAFETY_TRACE - [0:0]
:UDP_BAD_PACKETS - [0:0]
:UDP_PACKETS - [0:0]

-A INPUT -p tcp -j TCP_PACKETS
-A INPUT -p udp -j UDP_PACKETS
-A INPUT -p icmp -j ICMP_PACKETS

-A FORWARD -p tcp -j TCP_BAD_PACKETS
-A FORWARD -p udp -j UDP_BAD_PACKETS
-A FORWARD -p icmp -j ICMP_BAD_PACKETS

-A ICMP_BAD_PACKETS -f -j LOG --log-prefix "icmp fragment:"
-A ICMP_BAD_PACKETS -f -j DROP

-A ICMP_PACKETS -j ICMP_BAD_PACKETS
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 12 -j ACCEPT

-A TCP_BAD_PACKETS -m conntrack --ctstate INVALID -j LOG --log-prefix "INVALID state:"
-A TCP_BAD_PACKETS -m conntrack --ctstate INVALID -j DROP
-A TCP_BAD_PACKETS -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "NEW without SYN:"
-A TCP_BAD_PACKETS -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP

-A TCP_PACKETS -j TCP_SAFETY_TRACE
-A TCP_PACKETS -j TCP_BAD_PACKETS
-A TCP_PACKETS -j TCP_PORTS

-A TCP_PORTS -p tcp -m tcp --dport 22 -j ACCEPT

-A TCP_SAFETY_TRACE -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A TCP_SAFETY_TRACE -i lo -j ACCEPT
-A TCP_SAFETY_TRACE -s 192.168.8.0/24 -i wlan0 -j ACCEPT

-A UDP_BAD_PACKETS -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A UDP_BAD_PACKETS -d 255.255.255.255/32 -p udp -m udp --dport 135:139 -j DROP

-A UDP_PACKETS -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A UDP_PACKETS -p udp -m udp --dport 123 -j ACCEPT
-A UDP_PACKETS -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable

COMMIT
# Completed on Mon Mar  7 01:55:10 2011
# Generated by iptables-save v1.4.4 on Mon Mar  7 01:55:10 2011
*mangle
:PREROUTING ACCEPT [2444:1349146]
:INPUT ACCEPT [2432:1346854]
:FORWARD ACCEPT [12:2292]
:OUTPUT ACCEPT [1526:238766]
:POSTROUTING ACCEPT [1591:250653]
COMMIT
# Completed on Mon Mar  7 01:55:10 2011

Но вот Nexuiz серваков не видит
В логе (когда я тестю, правил для записи в лог больше - всё вроде пишется...) ничего нового не видно при этом...

[maroshka]

По поводу логов, все очень нормально фильтруетcя через возможности rsyslog. В Ответ #1045 посмотри, я там отсеивал логи по заголовку в отдельный файл, например чтобы логи c bad input tcp gпадали в отдельный файлик и т.п.

[Syrex]

Всем прива.
Народ,помогите составить правила для такие требований:
1.Закрыть все порты,кроме нескольких (tcp - 3724,8325,8444,8085,8086,8087; udp - 53).
2.Фильтр от ненужных пакетов (хлам разный).
3.Количество подключений на открытые порты с одного Ип не больше чем 3 пакета в секунду.
4.Закрыть пингование или ограничить вес пакета до 32б в сек.
Ubuntu Server 10.04.2,Iptables 1.4.4
Заранее благодарен,ато уже 3 дня ковыряю и ничего не получается.

[dr.Faust]

1 Политика по умолчанию - DROP

Код: [Выделить]

iptables -A INPUT -p tcp -m mport --dports 3724,8325,8444,8085,8086,8087 -j ACCEPT
iptables -A INPUT -p udp --destination-port 53 -j ACCEPT
2 maroshka
Спасибо - посмотрю.

[Syrex]

1 Политика по умолчанию - DROP

Код: [Выделить]

iptables -A INPUT -p tcp -m mport --dports 3724,8325,8444,8085,8086,8087 -j ACCEPT
iptables -A INPUT -p udp --destination-port 53 -j ACCEPT
2 maroshka
Спасибо - посмотрю.

Спс,только как еще ограничить количество пакетов с одного ИП в сек и сделать фильтр от всякого там syn флуда (не пропускать такие пакеты) и как эти все правила вместе будут выглядит с "политикой по умолчанию - DROP" ? )

[AnrDaemon]

Спс,только как еще ограничить количество пакетов с одного ИП в сек и сделать фильтр от всякого там syn флуда (не пропускать такие пакеты) и как эти все правила вместе будут выглядит с "политикой по умолчанию - DROP" ? )

Это называется "шейпинг" и обсуждается в другой теме.
Если только вы не хотите именно от флуда защищаться, тогда вам поможет модуль recent.

[dr.Faust]

Стандртные политика Firestarter (отрывок):

Код: [Выделить]

-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
Скажите, я дурак или кто-то другой, или в этом есть тайный смысл?

[AnrDaemon]

[пытаясь удержать расползающуюся в ухмылке пасть] Это ответ, почему не стоит пользоваться подобными... изделиями.

[dr.Faust]

Как-то всё же не хватает возможности писать лог в отдельный файл и какой-нибудь цели типа RUN которая бы запускала исполняемый файл...

[AnrDaemon]

Как-то всё же не хватает возможности писать лог в отдельный файл

Ась? Тебе уже сказали, как это сделать.