HOWTO: Iptables для новичков

[fisher74]

А что, без открытия 53 не судьба что ли. Может тогда и  80 порт открыть, чтобы на сторонние сайты зайти.

bubuntu-ru, прочтите внимательней моё сообщение, где я описывал возможное положение правил пропуска 53 порта. Там всё разжёвано.

Может тогда и  80 порт открыть, чтобы на сторонние сайты зайти.

Попробуйте сами зайти хотя бы на один сайт при

Код: [Выделить]

iptables -P INPUT DROPбез правила

iptables -A INPUT -i $INET_IFACE -p tcp --sport 80 -j ACCEPT

или

Код: [Выделить]

iptables -P OUTPUT DROP
без правила

iptables -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -j ACCEPT

Если в первом случае при наличии правила

iptables -A INPUT -m conntrack --cstate ESTABLISHED,RELATED -j ACCEPT

у Вас получится, то во втором случае я могу предсказать картинку на Вашем экране.

[KRAKEN]

Добрый день, поднял прокси сервер на debian6. Собственно дошло дело до настройки Iptables. При этом icmp запросы идут, а tcp нет. Подскажите, в чем может быть дело?
Конфиг следующий, eth0- наружу, eth1- внутрь:

Код: [Выделить]

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
#Разрешаем локалхост
-A INPUT -i lo -j ACCEPT
#Разрешаем нашей сети
-A INPUT -i eth1 -j ACCEPT
#Разрешаем установленным соединениям
-A INPUT -i eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#Разрешаем пинг снаружи
-A INPUT -i eth0 -p icmp -m icmp --icmp-type any -j ACCEPT
#Разрешаем RDP
-A FORWARD -d 192.168.0.200/32 -p tcp -m tcp --dport 3389 -j ACCEPT
#Разрешаем SSH к admin
-A FORWARD -d 192.168.0.104/32 -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT

*mangle
:PREROUTING ACCEPT
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
#Проброс порта
-A PREROUTING -d x.x.x.x/32 -p tcp -m tcp --dport 22221 -j DNAT --to-destination 192.168.0.200:3389
#Проброс порта на admin
-A PREROUTING -d x.x.x.x/32 -p tcp -m tcp --dport 22220 -j DNAT --to-destination 192.168.0.104:22
#Маскардинг
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

[fisher74]

*filter
...
:FORWARD DROP
#Разрешаем RDP
-A FORWARD -d 192.168.0.200/32 -p tcp -m tcp --dport 3389 -j ACCEPT
#Разрешаем SSH к admin
-A FORWARD -d 192.168.0.104/32 -p tcp -m tcp --dport 22 -j ACCEPT

В обратную сторону пакеты не разрешили. Добавьте правило

Код: [Выделить]

-A FORWARD -i eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPTНу или, в меру своей паранойи, более жёстче...

[KRAKEN]

спасибо, с рдп помогло! а NEW - осталось еще с прошлого раза, когда не работало- думал в этом дело, не заметил. а дело как оказалось в: -A INPUT -i eth0 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
=)

[bubuntu-ru]

то во втором случае я могу предсказать картинку на Вашем экране.

Анолог Windows-фаера по приложениям

[fisher74]

Пойду-ка я спать, а то некоторые фразы меня ступорят, когда я их пытаюсь понять.
Извините, bubuntu-ru, но я Ваше последнее высказывание не понял.

[bubuntu-ru]

Я тоже не понял, зачем такой огород городить, iptables -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -j ACCEPT.  И что енто самое главное даст .

[fisher74]

Это разрешит хосту работать по http-протоколу с внешним миром, а именно локальному пользователю смотреть сайты.

[bubuntu-ru]

Если 1 пк и на нем 1,2,3-~ сервисов, жестокий дроп отдачи- Windows фаер по приложениям. Фаер - фаервол

[fisher74]

нет, я Вас не понимаю.

[alexxnight]

Я тоже не понял, зачем такой огород городить, iptables -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -j ACCEPT.  И что енто самое главное даст .

Подождите, а как правильно написать правило, разрешающее "смотреть сайты"?

[fisher74]

Я тоже не понял, зачем такой огород городить, iptables -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -j ACCEPT.  И что енто самое главное даст .

Подождите, а как правильно написать правило, разрешающее "смотреть сайты"?

Вот как в процитированном написано, так и разрешить.
Только обратите внимание - этот "костыль" нужен для параноиков(на самом деле это не костыль, а нормальное правило), делающих для цепочки OUTPUT дефолтным правилом DROP. Т.е. есть команда

Код: [Выделить]

sudo iptables -P OUTPUT DROP

[bubuntu-ru]

:], зачем вообще нужен такой дроп, если по правилу, сетевой карте можно все на 80 порту, и туда и сюда. ?, что енто правило даст в плане безопасности, так и остался в воздухе. Такое правило можно писать, если вся система(общее понятие) раскидана на n-кол-о пк. 1 пк-сервис, и тд.

[fisher74]

сетевой карте можно все на 80 порту, и туда и сюда.

Не забывайте, что есть source-port и destination-port. Это по поводу "туда-сюда"

А по поводу зачем оутпут дроп? Может Вы захотите, чтобы к Ваши пользователи могли смотреть только http. потому разрешаете на выход только 80 порт в качестве destination-порта. Тогда Вы запрещаете всё, а потом разрешаете только разрешённое, в Вашем примере - это 80 порт (-dport)
Но обычно такое дефолтное правило для параноиков и очень часто приводит к ошибкам фильтации, так как настраивающий забывает, что при создании соединения с удалённым хостом по определённому порту на своей машине открывается (именно для этого соединения) порт номер которого выбирается рандомно,т.е. заранее предсказать его номер невозможно (практически)

[alexxnight]

:], зачем вообще нужен такой дроп, если по правилу, сетевой карте можно все на 80 порту, и туда и сюда. ?, что енто правило даст в плане безопасности, так и остался в воздухе. Такое правило можно писать, если вся система(общее понятие) раскидана на n-кол-о пк. 1 пк-сервис, и тд.

приведите, пожалуйста, реальный конфиг фаервола, а то так сложно сразу сообразить.