HOWTO: Iptables для новичков

[AnrDaemon]

никто не говорил, что у меня FF...

А каким браузером пользуетесь, попробую там?

Opera, конечно. У кого ещё есть встроенная блокировка гадостей...
http://deb.opera.com/

$ sudo -E -s
# echo "deb http://deb.opera.com/opera/ sid non-free" > /etc/apt/sources.list.d/opera.list
# wget -O - http://deb.opera.com/archive.key | apt-key add -

Дальше можно синаптиком.

[Druge]

AnrDaemon
Большое спасибо, буду пробовать.

[dr.Faust]

не совсем понятно вот это правило:
-A UDP_PACKETS -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

и вот это:
-A UDP_PACKETS -p udp -m udp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

Прошу прощения, что долго не отвечал - работа.

Первое это же пропускаем DNS.
А со вторым сложнее - постоянно сыпятся сообщения что блокированы такие пакеты - я пытался понять что это, но не понял. Однако часть программ не работает пока этот маршрут не разрешишь. Например Nexuiz не подключается к серверам.

[alexxnight]

не совсем понятно вот это правило:
-A UDP_PACKETS -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

и вот это:
-A UDP_PACKETS -p udp -m udp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

Первое это же пропускаем DNS.

А со вторым сложнее - постоянно сыпятся сообщения что блокированы такие пакеты - я пытался понять что это, но не понял. Однако часть программ не работает пока этот маршрут не разрешишь. Например Nexuiz не подключается к серверам.

Если я не ничего не путаю, то DNS
-A UDP_PACKETS -p udp -m udp --dport 53 -j ACCEPT

[fisher74]

это смотря в какой стороне от файрволла и в какой цепочке правило стоит

[alexxnight]

это смотря в какой стороне от файрволла и в какой цепочке правило стоит

Ну, раз уж написали, поясните и приведите примеры

[AnrDaemon]

Ну, раз уж написали, поясните и приведите примеры

http://www.docum.org/docum.org/kptd/

[fisher74]

Хорошо, объясню.
Рассмотрим стандарную ситуацию, когда DNS-сервер находится у провайдера. Тогда:
а. Необходимо разрешить пакеты до провайдера на udp-порт 53. Эти пакеты будут проходить через цепочку OUTPUT и значение порта 53 будет выступать в качестве destination. Иначе говоря правило будет выглядеть так (конечно в минималистическом виде)

iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

b. когда DNS -сервер будет отвечать, то необходимо пропустить ответные пакеты обратно. Это уже будет цепочка INPUT и udp-порт 53 будет уже выступать в качестве source-порт. А значит правило будет выглядеть так:

iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT

Теперь рассмотрим ситуацию, когда хост сам является DNS-сервер. тогда
а. он должен принимать udp-пакеты на 53 порт.  Т.е. в цепочке INPUT нужно разрешить пакеты с source-порт 53 и правило будет выглядеть так

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

b. также он должен и ответить, а значит в цепочке OUTPUT разрешить пакеты с source-порт 53. Т.е. правило будет уже выглядеть

iptables -A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

Как-то так....

[Druge]

AnrDaemon
А как в OPERA  вписать диапазон IP адресов, а не только один адрес?

[Lion-Simba]

Хорошо, объясню.
...

iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT

...

А ещё это правило разрешит доступ на любой порт данной машины. Лишь бы удаленный исходящий порт был 53. Дырка, однако.

[AnrDaemon]

AnrDaemon
А как в OPERA  вписать диапазон IP адресов, а не только один адрес?

Одля ЧЕГО вписывать диапазон? И давай с оперой в отдельный топик.

[fisher74]

правило будет выглядеть так (конечно в минималистическом виде)

А ещё это правило разрешит доступ на любой порт данной машины. Лишь бы удаленный исходящий порт был 53. Дырка, однако.

Читайте все буквы и дырок не будет

[alexxnight]

Хорошо, объясню.
Рассмотрим стандарную ситуацию, когда DNS-сервер находится у провайдера. Тогда:
а. Необходимо разрешить пакеты до провайдера на udp-порт 53. Эти пакеты будут проходить через цепочку OUTPUT и значение порта 53 будет выступать в качестве destination. Иначе говоря правило будет выглядеть так (конечно в минималистическом виде)

iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

b. когда DNS -сервер будет отвечать, то необходимо пропустить ответные пакеты обратно. Это уже будет цепочка INPUT и udp-порт 53 будет уже выступать в качестве source-порт. А значит правило будет выглядеть так:

iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT

С а. абсолютно согласен (хотя обычно для OUTPUT в политике по-умолчанию используют ACCEPT)
С b. не согласен: для этого случая используется
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Теперь рассмотрим ситуацию, когда хост сам является DNS-сервер. тогда
а. он должен принимать udp-пакеты на 53 порт.  Т.е. в цепочке INPUT нужно разрешить пакеты с source-порт 53 и правило будет выглядеть так

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

b. также он должен и ответить, а значит в цепочке OUTPUT разрешить пакеты с source-порт 53. Т.е. правило будет уже выглядеть

iptables -A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

С a. согласен.
С b. не согласен: либо политика по-умолчанию ACCEPT, либо:
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT


Общее правило:
iptables -A [chain] -p udp -m udp --dport 53 -j ACCEPT
в зависимости от направления и конфигурации машины [chain] либо INPUT (если машина используется в качестве DNS сервера), либо OUPUT (хотя обычно по-умолчанию делают политику ACCEPT)

[dr.Faust]

Постойте...
Так UDP пакеты имеют состояние или нет?

Я добавил это правило, так как считал, что раз UDP протокол не гарантированное доставки, значит он не имеет состояний, и под правило iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT не попадает.
Если же он имеет состояние - да правило -A UDP_PACKETS -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT лишнее.

[AnrDaemon]

conntrack позволяет отслеживать даже пакеты из других протоколов. Например ICMP ответ на попытку установки TCP соединения.