HOWTO: Iptables для новичков

[AlistaM]

если чесно я вообще запутался...

попробую по полочкам:
вначале в своем скрипте разрешаю транзитный трафик
$IPT -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

разрешаю фильтрацию нового транзитного трафика от локальной сетевой карты в локальную сеть
$IPT -A FORWARD -m conntrack --ctstate NEW -i $LOC_FACE -s 192.168.0.0/24 -j ACCEPT

разрешаю фильтрацию нового транзитного трафика к rdp серверу
$IPT -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.4 -j ACCEPT

разрешаю фильтрацию транзитного трафика уже установленным соединениям
$IPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

разрешаю фильтрацию трафика от локальной сетевой к rdp хосту
 $IPT -I FORWARD -i eth1 --dst 192.168.0.4 -j ACCEPT

дальше перенаправляю новые соединения по 3389 на rdp сервер
$IPT -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.4:3389

перенаправляю последующий трафик по порту 3389 на хост 192.168.0.4
$IPT -t nat -A PREROUTING -p --tcp --dport 3389 -i eth0 -j DNAT --to-destination 192.168.0.4:3389

и в конце добавляю сквозной обратный трафик через инет интерфейс.
$IPT -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 87.87.87.87

может я с порядком выполнения скрипта что то не понимаю?
и нужен ли accept когда у меня пока вообще нет DROP и REJECT
и еще, почему после перезагрузки даже не меняя ничего в скрипте
:INPUT ACCEPT [5159:4949961]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4604:565917]
наборы портов меняются?

[fisher74]

вначале в своем скрипте разрешаю транзитный трафик
$IPT -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Разрешаете транзитный траффик пакетов УСТАНВОЛЕННЫЗ соединений.

разрешаю фильтрацию

Заметьте, что в данном контексте, слово "фильтр" обозначает выделение, а не удаление

и нужен ли accept когда у меня пока вообще нет DROP и REJECT

Нет, не нужен.

и еще, почему после перезагрузки даже не меняя ничего в скрипте
:INPUT ACCEPT [5159:4949961]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4604:565917]
наборы портов меняются?

Чего меняется?
Вы про выделенные что ли???
Это не порты!!!! Это количество пакетов прошедших через цепочки.

[AlistaM]

спасибо, еще нашел ошибку:
перенаправляю последующий трафик по порту 3389 на хост 192.168.0.4
$IPT -t nat -A PREROUTING -p --tcp --dport 3389 -i eth0 -j DNAT --to-destination 192.168.0.4:3389
не --tcp а просто tcp
но все равно пока так и не заработало. попробую сейчас все правила с accept убрать вообще, хотя по моему влиять не должно

[alexxnight]

Вот. нашел. посмотрите вот этот tutorial http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET. там есть пример похожий на Ваш, только с web сервером.

[fisher74]

Я бы в данном случае указал sourcedestination-адрес для перенаправляемых пакетов
Вы, кстати, после, добавления/изменения правил с помощью скрипта - проверяйте появились ли они в действующей таблице
Пользователь решил продолжить мысль [time]Tue Jun  7 13:42:20 2011[/time]:И ещё:
А на 192.168.0.4 какой шлюз указан?

[AlistaM]

Я бы в данном случае указал sourcedestination-адрес для перенаправляемых пакетов
Вы, кстати, после, добавления/изменения правил с помощью скрипта - проверяйте появились ли они в действующей таблице

вначале так и делал

Пользователь решил продолжить мысль [time]Tue Jun  7 13:42:20 2011[/time]:И ещё:
А на 192.168.0.4 какой шлюз указан?

оп-ля а ведь правда там совсем другой шлюз!!!!! спасибо большое!

[fisher74]

разрешаю фильтрацию трафика от локальной сетевой к rdp хосту
 $IPT -I FORWARD -i eth1 --dst 192.168.0.4 -j ACCEPT

Это не могли бы Вы объяснить - к чему бы ЭТО?

Код: [Выделить]

ifconfig -eth1

[AlistaM]

это с linux.org.ru тоже с форума кусочек из аналогичной проблемы брал. сижу читаю http://www.opennet.ru/docs/RUS/iptables/
Пользователь решил продолжить мысль 07 Июня 2011, 15:00:58:

Код: [Выделить]


$IPT -t nat -F PREROUTING
 $IPT -F FORWARD
 $IPT -t nat -F POSTROUTING
 # Разрешаем проходить пакетам по уже установленным соединениям   
 $IPT -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 $IPT -A FORWARD -m conntrack --ctstate NEW -i $LOC_FACE -s 192.168.0.0/24 -j ACCEPT
 $IPT -A PREROUTING -i $INET_IFACE -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.4:3389
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $INET_IFACE -j DNAT --to-destination 192.168.0.4:3389
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source 87.87.87.87

вот в таком варианте и после изменения шлюза на 192.168.0.4 все заработало. хотя как мне кажется тут еще некоторое можно убрать.
теперь буду пробовать настраивать drop-ы и прикручивать squid для авторизации из ad =)

[fisher74]

Код: [Выделить]


 $IPT -A PREROUTING -i $INET_IFACE -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.4:3389


в таблице filter нет цепочки PREROUTING

[vtv]

Наконец нашла форум, где активно обсуждают внутренности iptables. Я не волшебник, я только учусь... Так что объясните пожалуйста:
1) В некоторых примерах предлагается код типа:

Код: [Выделить]

IPTABLES -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPTа в других примерах для того же

Код: [Выделить]

iptables -A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT В чем отличие ?
2) У меня 2 сети: внутренняя, с доверительными отношениями и внешняя, с жестокими отношениями. Между ними строим шлюз и фаервол. Внутренние ip и ip шлюза=IPR - статические (используем SNAT) Я хочу, чтобы для одной из машин внутренней сети - ее ip=IPSpecial при обращении с нее на конкретный адрес AdrSpecial во внешней сети подмены адреса не было, а во всех остальных случаях  - была. Вопрос: если я напишу

Код: [Выделить]

$ iptables -A POSTROUTING -s ! $IPSpecial -d ! $Adrspecial -o eth1 -j SNAT --to-source $IPR- 'это будет работать? и если будет, то так ли. как я хочу?

[AnrDaemon]

Наконец нашла форум, где активно обсуждают внутренности iptables. Я не волшебник, я только учусь... Так что объясните пожалуйста:
1) В некоторых примерах предлагается код типа:

Код: [Выделить]

IPTABLES -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPTа в других примерах для того же

Код: [Выделить]

iptables -A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT В чем отличие ?

В новых ядрах - нив чём. модуль state является синониом (alias) модуля conntrack.
Раньше различие было, (state был более ранней реализацией системы отслеживания соединений, не имевшей полного функционала модуля conntrack).

2) У меня 2 сети: внутренняя, с доверительными отношениями и внешняя, с жестокими отношениями. Между ними строим шлюз и фаервол. Внутренние ip и ip шлюза=IPR - статические (используем SNAT) Я хочу, чтобы для одной из машин внутренней сети - ее ip=IPSpecial при обращении с нее на конкретный адрес AdrSpecial во внешней сети подмены адреса не было, а во всех остальных случаях  - была.

Если адрес IPSpecial принадлежит приватному блоку адресов, подмена должна быть. Точка.

[dr.Faust]

- 'это будет работать? и если будет, то так ли. как я хочу?

А я например вообще не понял чего вы хотите...
Т.е. Вы хотите, что бы при обращении к какому-то IP во внешней сети, у вас адрес обращающейся машины оставался адресом внутренней сети? А для чего вам это?
Это в принципе возможно - тут AnrDaemon неправ. Но есть один нюанс - вы не сможете установить соединение, так как пакеты к вашей машине просто не дойдут. Вот и интересно, для чего это может понадобиться.

[AnrDaemon]

Это в принципе возможно технически. Я этого не отрицал. Но исходя из поставленной задачи - "сделать так и чтобы работало" - не будет работать.

[dr.Faust]

2  AnrDaemon
Я не дурак и я понимаю, что ты не дурак. Конечно я знаю, что ты знаешь, что это возможно, но не будет, ну не то чтобы работать, ведь про установление соединеия vtv ничего не говорила, а не будет полезно. Это же был просто сарказм.

Все это было написано, только для того, чтобы побудить vtv объяснить что ей надо, а не чего она хочет. Зная всю задачу целиком, мы возможно сможем предложить решение, ведь вероятно vtv решает её тупиковым путем. Черт его знает что это - может это заумный способ аутентификации и в реале iptables там вообще не нужен.

[vtv]

Объясняю. Все машины под виндой. На внешней машине есть директория. к которой открыт доступ только избранным, причем не по паролю, а по пользователю. Машина нашей табельщицы туда входит, а другие машины кто не прописан в пользователях - нет. Защита минимальная, но больше и не требуется, желающих там чего ломать нет. Ну а после подмены адреса она туда зайти не может. Ее можно конечно подключать отдельным хвостом к внешней сети (даже две сетевые карты там есть). Но хотелось найти более красивое решение. Разрешать выход всем в эту папку не хочу, не для того туда доступ ограничивали.
Пользователь решил продолжить мысль 19 Июня 2011, 23:33:28:Ах, да. Не объяснила сначала. Главное, это шлюз+ фаервол. и набор правил вроде заработал, а вот захотелось подправить, чтобы...(см пост выше)