HOWTO: Iptables для новичков

[AnrDaemon]

"iptables -A INPUT -j DROP" пишется как

iptables -P INPUT DROP

вообще-то.

День добрый !
подскажите  как правильно сделать  правило ,

iptables -A INPUT -p tcp --dport 80 -j ACEPT

мне нужен доступ к 80 порту с определенного  ip , а у меня со всех подряд получается...

Так добавь адрес в правило.
-s адрес

[kolyan_k]

День добрый!
спасибо за  совет  AnrDaemon с делал как Вы сказали 
iptables -A INPUT -s 10.10.10.0/24 -p tcp --dport 80 -j ACCEPT
работает!
а вот с портом 25 и 110 не получается так
iptables -A INPUT -s 10.10.10.0/24 -p tcp --dport 25 -j ACCEPT

и так пробывал
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
соединение устанавливается а почта не отправляется...

[podkovyrsty]

соединение устанавливается а почта не отправляется...

Это вовсе не значит что проблема в файрволле, не находите?
Опишите подробнее.

[kolyan_k]

iptables -A INPUT -s 10.10.10.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 10.10.10.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 10.10.10.0/24 -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT

iptables -P INPUT DROP

почтовый сервер находится на машине с  iptables хочется закрыть все и оставить только 25 110 снаружы
когда  включено правило
iptables -P INPUT DROP
то ответ от почтовика  идет а почта не работает, как только  убираю правило так все превосходно

[AnrDaemon]

Так правила полностью писать надо.
Начните хотя бы с первого спойлера в https://forum.ubuntu.ru/index.php?topic=99586.0 и добавляйте свои правила.

[AlistaM]

Добрый день, пытаюсь создать простейший startup скрипт для проброса через шлюз на RDP сервер (192.168.0.4) в локальной сети, на iptable. на шлюзе есть внешний (eth0 87.87.87.87) и внутренний интерфейс (eth1 192.168.0.15). ip- статика. часть скрипта  брал из шаблончика, часть сам клепал. сейчас сижу разбираюсь в мануале, еще пока не все понимаю. Ткните носом что я не так делаю?

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
IPT="/sbin/iptables"
INET_IFACE="eth0"
LOC_FACE="eth1"

UNPRIPORTS="1024:65535"

start_fw()
{
    # Включить перенаправление пакетов через ядро.
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    # Сбросить правила и удалить цепочки.
    $IPT -F
    $IPT -X
    $IPT -t nat -F PREROUTING # На всякий случай очистим цепочку PREROUTING таблицы nat
    $IPT -F FORWARD # На всякий случай очистим цепочку FORWARD
# На всякий случай очистим цепочку POSTROUTING таблицы nat
    $IPT -t nat -F POSTROUTING

#$IPT -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем.

 # Разрешаем проходить пакетам по уже установленным соединениям    
    $IPT -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 # Разрешаем исходящие соединения из локальной сети к интернет-хостам
    $IPT -A FORWARD -m conntrack --ctstate NEW -i $LOC_FACE -s 192.168.0.0/24 -j ACCEPT

# через snat
    $IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source 87.87.87.87


# Разрешаем входящие соединения к 192.168.0.4
$IPT -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.4 -j ACCEPT

$IPT -t nat -I PREROUTING --dst $INET_IFACE -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.4:3389
$IPT -t nat -I POSTROUTING -p tcp --dst 192.168.0.4 --dport 3389 -j SNAT --to-source 87.87.87.87
$IPT -I FORWARD -i $INET_IFACE --dst 192.168.0.4 -j ACCEPT

}

case "$1" in
start)   echo -n "Starting firewall: iptables"
   start_fw
        echo "."
   ;;
stop)   echo -n "Stopping firewall: iptables"
   iptables -F
   iptables -X
        echo "."
        ;;
save)   echo -n "Saving firewall: iptables"
   iptables-save > /etc/rules-save
   echo "."
   ;;    
restart) echo -n "Restarting firewall: iptables"
   iptables -F
   iptables -X
   cat /etc/rules-save | iptables-restore
        echo "."
        ;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
        echo "."
        ;;
*)   echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload"
        exit 1
        ;;
esac
exit 0

[AnrDaemon]

sudo iptables-save
показывайте, сколько раз повторять. Мы вам не онлайн-интерпретаторы скриптов.

[AlistaM]

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Mon Jun  6 11:55:18 2011
*nat
:PREROUTING ACCEPT [704:102803]
:INPUT ACCEPT [677:101445]
:OUTPUT ACCEPT [1908:133304]
:POSTROUTING ACCEPT [342:21641]
-A POSTROUTING -d 192.168.0.4/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 87.87.87.87
-A POSTROUTING -o eth0 -j SNAT --to-source 87.87.87.87
COMMIT
# Completed on Mon Jun  6 11:55:18 2011
# Generated by iptables-save v1.4.10 on Mon Jun  6 11:55:18 2011
*filter
:INPUT ACCEPT [5550:2567676]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4425:636598]
-A FORWARD -d 192.168.0.4/32 -i eth0 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Mon Jun  6 11:55:18 2011

 как то так..

[AnrDaemon]

-A POSTROUTING -d 192.168.0.4/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 87.87.87.87

Это что вообще было? O.o
*nat
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d 192.168.0.4/32 -i eth0 -p tcp -m tcp --dport 3389 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.4:3389
...

*filter
-A FORWARD -d 192.168.0.4/32 -i eth0 -j ACCEPT вообще думаешь что пишешь??
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
...

[AlistaM]

все равно не могу вкурить, переделал скрипт.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Задаем некоторые переменные:

# Переменная, задающая путь к файлу запуска iptables.
IPT="/sbin/iptables"

# Ваш сетевой интерфейс. Это нужно, чтобы не писать в правилах одно и тоже.
INET_IFACE="eth0"
LOC_FACE="eth1"

# Номера непривилегированных портов
UNPRIPORTS="1024:65535"

start_fw()
{
    # Включить перенаправление пакетов через ядро.
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    # Сбросить правила и удалить цепочки.
  
    $IPT -t nat -F PREROUTING # На всякий случай очистим цепочку PREROUTING таблицы nat
    $IPT -F FORWARD # На всякий случай очистим цепочку FORWARD
# На всякий случай очистим цепочку POSTROUTING таблицы nat
    $IPT -t nat -F POSTROUTING

#$IPT -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем.

 # Разрешаем проходить пакетам по уже установленным соединениям    
    $IPT -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    #$IPT -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

$IPT -t nat -A PREROUTING -p --tcp --dport 3389 -i $INET_IFACE -j DNAT --to-destination 192.168.0.4:3389
$IPT -t nat -A POSTROUTING -s 192.168.0.4 -p tcp --dport 3389 -j SNAT --to-source 87.87.87.87:3389

# Маскарадим весь трафик, идущий через eth0 (переделал через snat)
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source 87.87.87.87

}

case "$1" in
start)   echo -n "Starting firewall: iptables"
   start_fw
        echo "."
   ;;
stop)   echo -n "Stopping firewall: iptables"
   iptables -F
   iptables -X
        echo "."
        ;;
save)   echo -n "Saving firewall: iptables"
   iptables-save > /etc/rules-save
   echo "."
   ;;    
restart) echo -n "Restarting firewall: iptables"
   iptables -F
   iptables -X
   cat /etc/rules-save | iptables-restore
        echo "."
        ;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
        echo "."
        ;;
*)   echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload"
        exit 1
        ;;
esac
exit 0

если не вникать в спойлер то примерно вот так:

Код: [Выделить]

IPT="/sbin/iptables"
   $IPT -t nat -F PREROUTING # На всякий случай очистим цепочку PREROUTING таблицы nat
    $IPT -F FORWARD # На всякий случай очистим цепочку FORWARD
    $IPT -t nat -F POSTROUTING  #еще чистим POSTROUTING в nat (а надо ли?)
    $IPT -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT #разрешаем проброс?
    $IPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
$IPT -t nat -A PREROUTING -p --tcp --dport 3389 -i $INET_IFACE -j DNAT --to-destination 192.168.0.4:3389  #проброс от инет интерфейса к rdp серверу
$IPT -t nat -A POSTROUTING -s 192.168.0.4 -p tcp --dport 3389 -j SNAT --to-source 87.87.87.87:3389 #возврат от rdp сервера во внешку
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source 87.87.87.87 # разрешаем из локалки выходить во внешку

iptables-save показывает

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Mon Jun  6 13:34:33 2011
*filter
:INPUT ACCEPT [1501:497490]
:FORWARD ACCEPT [19:916]
:OUTPUT ACCEPT [1342:224277]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
COMMIT
# Completed on Mon Jun  6 13:34:33 2011
# Generated by iptables-save v1.4.10 on Mon Jun  6 13:34:33 2011
*nat
:PREROUTING ACCEPT [183:24487]
:INPUT ACCEPT [149:22363]
:OUTPUT ACCEPT [740:53296]
:POSTROUTING ACCEPT [89:5792]
-A POSTROUTING -s 192.168.0.4/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 87.87.87.87:3389
-A POSTROUTING -o eth0 -j SNAT --to-source 87.87.87.87
COMMIT
# Completed on Mon Jun  6 13:34:33 2011



[AnrDaemon]

$IPT -t nat -A POSTROUTING -s 192.168.0.4 -p tcp --dport 3389 -j SNAT --to-source 87.87.87.87:3389

Убрать
И перезапустить скрипт.
И куда у тебя остальные команды пропали из настроек?

[AlistaM]

ну в спойлере там побольше, да и так и так пытаюсь. удалил строчку, перезапустил, все равно не пускает
iptables-save

Код: [Выделить]

*filter
:INPUT ACCEPT [5159:4949961]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4604:565917]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
COMMIT
# Completed on Mon Jun  6 13:46:34 2011
# Generated by iptables-save v1.4.10 on Mon Jun  6 13:46:34 2011
*nat
:PREROUTING ACCEPT [111:12997]
:INPUT ACCEPT [111:12997]
:OUTPUT ACCEPT [786:54672]
:POSTROUTING ACCEPT [83:5629]
-A POSTROUTING -o eth0 -j SNAT --to-source 87.87.87.87
COMMIT
# Completed on Mon Jun  6 13:46:34 2011


с самого шлюза пускает на rdp. если по локалке с локального пк коннекчусь к rdp - все нормально. а через шлюз пытаюсь пройти - болт

[AnrDaemon]

Ещё раз - куда у тебя остальные правила делись?

[AlistaM]

эммм....ну вроде как по твоим подсказкам их изменил/убрал. я что то не так понял?
а больше никаких команд и небыло. ограничения разные буду дальше настраивать как проброс заработает

[AnrDaemon]

Ясно...

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Mon Jun  6 11:55:18 2011
*nat
:PREROUTING ACCEPT [704:102803]
:INPUT ACCEPT [677:101445]
:OUTPUT ACCEPT [1908:133304]
:POSTROUTING ACCEPT [342:21641]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.4:3389
-A POSTROUTING -o eth0 -j SNAT --to-source 87.87.87.87
COMMIT
# Completed on Mon Jun  6 11:55:18 2011
# Generated by iptables-save v1.4.10 on Mon Jun  6 11:55:18 2011
*filter
:INPUT ACCEPT [5550:2567676]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4425:636598]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Mon Jun  6 11:55:18 2011