HOWTO: Iptables для новичков

[AnrDaemon]

-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

Не -I

[AlistaM]

добавил как вы написали - не помогло стучусь извне по rdp не пускает. вот iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Jun 29 09:47:59 2011
*filter
:INPUT DROP [119:11661]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [226:31253]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1020:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 3389 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 143 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1020:1023 --dport 22 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 3389 -j ACCEPT
COMMIT
# Completed on Wed Jun 29 09:47:59 2011
# Generated by iptables-save v1.4.4 on Wed Jun 29 09:47:59 2011
*nat
:PREROUTING ACCEPT [92:11881]
:OUTPUT ACCEPT [155:22264]
:POSTROUTING ACCEPT [88:16408]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.4:3389
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 83.83.83.83
COMMIT
# Completed on Wed Jun 29 09:47:59 2011

[AnrDaemon]

У вас куча дублей в правилах. state - синоним conntrack.
На INVALID надо проверять первым правилом.
В цепочке INPUT конец вообще бессмысленен. Сами возьмите прогоните iptables -vL, у вас туда ни один пакет не попадает. Просто удалите этот мусор.

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [92:11881]
:OUTPUT ACCEPT [155:22264]
:POSTROUTING ACCEPT [88:16408]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.4:3389
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 83.83.83.83
COMMIT

*filter
:INPUT DROP [119:11661]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [226:31253]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT

А теперь у меня вопрос.
Если я правило "-m state --state INVALID -j DROP" перенесу в nat/PREROUTING - ы?

[AlistaM]

почистил, получилось вот так:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Jun 29 14:04:51 2011
*filter
:INPUT DROP [121:11341]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [214:21193]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1020:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 3389 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Wed Jun 29 14:04:51 2011
# Generated by iptables-save v1.4.4 on Wed Jun 29 14:04:51 2011
*nat
:PREROUTING ACCEPT [35:3806]
:OUTPUT ACCEPT [85:7242]
:POSTROUTING ACCEPT [10:1090]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.4:3389
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 83.83.83.83
COMMIT
# Completed on Wed Jun 29 14:04:51 2011

все равно не пускает
Пользователь решил продолжить мысль 29 Июня 2011, 14:09:04:стоп, кажется понимаю, на машине с RDP сервером должен же быть шлюз на пк с iptable!!! наступаю 2й раз на эти грабли. спасибо!

[AnrDaemon]

стоп, кажется понимаю, на машине с RDP сервером должен же быть шлюз на пк с iptable!!! наступаю 2й раз на эти грабли. спасибо!

Как вариант, замаскарадить проброс адресом сервера (локальным). Но это не есть кошерно.

[Protopopulus]

Всем привет.

Имеется:
tun0 - OpenVPN-туннель к удаленной машине.
ppp0 - VPN-туннель к серверу провайдера с выходом в Интернет.
В /etc/sysctl.conf прописан форвардинг.

Код: [Выделить]

net.ipv4.ip_forward = 1В iptables разрешен форвардинг с tun0 на ppp0 и наоборот, а так же прописан маскарадинг:

Код: [Выделить]

iptables -A FORWARD -i tun0 -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o tun0 -j ACEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Проблема:
Удаленная машина не может пробиться через мой комп. sudo traceroute -i tun0 server.ru с удаленной машины видит только мой комп, а дальше "звездочки".

В чем может быть причина трабла?

[AnrDaemon]

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Забыл-с...

[Protopopulus]

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Забыл-с...

Увы, не помогло. Хотя и есть шевеления какие-то.

Код: [Выделить]

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   87  5220 ACCEPT     all  --  tun0   ppp0    anywhere             anywhere           
   27  2184 ACCEPT     all  --  ppp0   tun0    anywhere             anywhere

Код: [Выделить]

Chain POSTROUTING (policy ACCEPT 4 packets, 240 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1211 77317 MASQUERADE  all  --  any    ppp0    anywhere             anywhere           
    0     0 MASQUERADE  all  --  any    tun0    anywhere             anywhere

[AnrDaemon]

Опиши структуру сети подробнее.
С адресацией и
ip route list table all
на каждом конце.

[Protopopulus]

Сеть такая:
1. Комп в Украине, выходит в сеть через DHCP (похоже)
2. Комп в России, выход в сеть через VPN (черно-желтый полосатый провайдер).

На 2-м запущен OpenVPN-сервер, который слушает по tcp порт 20000. 1-й подключается к моей машине по моему внешнему IP (динамика). Соединение происходит спокойно по OpenVPN. Можно без проблем подключить NFS с любой стороны - файлы передаются спокойно через OpenVPN-туннель. (возможно важно) OpenVPN использует tun-драйвер, то есть соединение типа точка-точка. После соединения, адреса по интерфесу tun: мой 192.168.0.1, украинский 192.168.0.2.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

192.168.0.2 dev tun0  proto kernel  scope link  src 192.168.0.1
213.234.199.194 via 10.63.152.1 dev eth0  src 10.63.154.205
10.63.152.0/21 dev eth0  proto kernel  scope link  src 10.63.154.205
10.0.0.0/8 via 10.63.152.1 dev eth0
default dev ppp0  scope link
local 192.168.0.1 dev tun0  table local  proto kernel  scope host  src 192.168.0.1
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 10.63.154.205 dev eth0  table local  proto kernel  scope host  src 10.63.154.205
local 93.81.105.128 dev ppp0  table local  proto kernel  scope host  src 93.81.105.128
broadcast 10.63.159.255 dev eth0  table local  proto kernel  scope link  src 10.63.154.205
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 10.63.152.0 dev eth0  table local  proto kernel  scope link  src 10.63.154.205
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1

С утра постараюсь показать украинские роуты.
И еще такой вопрос. Чем может быть чревато закрытие всех входящих udp и icmp для NEW пакетов?

[AnrDaemon]

Встречный вопрос - а зачем это делать?

[Protopopulus]

А поцчему ви таки отвечаете вопгосом на вопгос?
Любопытство меня одолело, вот и спрашиваю. Просто вижу, что ко мне по udp кто-то частенько шарахается...

[AnrDaemon]

А поцчему ви таки отвечаете вопгосом на вопгос?
Любопытство меня одолело, вот и спрашиваю. Просто вижу, что ко мне по udp кто-то частенько шарахается...

Поставьте -P INPUT DROP
и не смотрите в ту сторону.

[Protopopulus]

Поставьте -P INPUT DROP
и не смотрите в ту сторону.

Шутку понял. Ладно, пойду погуглю по этому поводу, хотя и так часа три гуглил...

[MAvrON]

добрый день!
Помогите новичку. Не могу понять смысл работы iptables.Имеется две сетевушки eth0- локалка, eth-1 на мир смотрит. Написал скрипт, посмотрите, где я ошибся ... пытаюсь закрыть все порты кроме вот этих, но не получается... делаю команду перед скриптом iptables -P INPUT DROP

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.1.110:5900
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.1.110:3389
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Generated by iptables-save v1.4.4 on Tue Jul  5 11:40:43 2011
*mangle
:PREROUTING ACCEPT [7:4660]
:INPUT ACCEPT [7:4660]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:5880]
:POSTROUTING ACCEPT [5:5880]
COMMIT
# Completed on Tue Jul  5 11:40:43 2011
# Generated by iptables-save v1.4.4 on Tue Jul  5 11:40:43 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Tue Jul  5 11:40:43 2011
# Generated by iptables-save v1.4.4 on Tue Jul  5 11:40:43 2011
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
iptables -A INPUT ! -i eth1 -j ACCEPT
# Accept traffic with the ACK flag set
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
iptables -A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
iptables -A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
iptables -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
iptables -A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
iptables -A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
iptables -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
iptables -A INPUT -p tcp -m tcp --dport 22 -j DROP
# Allow connections to our IDENT server
iptables -A INPUT -p tcp -m tcp --dport auth -j ACCEPT
# Respond to pings
iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
# Allow DNS zone transfers
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
# Allow DNS queries
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
# Allow connections to webserver
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Allow SSL connections to webserver
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Allow connections to mail server
iptables -A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 25,587
# Allow connections to FTP server
iptables -A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
# Allow connections to POP3 server
iptables -A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 110,995
# Allow connections to IMAP server
iptables -A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 143,220,993
# Allow connections to Webmin
iptables -A INPUT -p tcp -m tcp --dport 10000:10010 -j ACCEPT
# Allow connections to Usermin
iptables -A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
COMMIT
# Completed on Tue Jul  5 11:40:43 2011