HOWTO: Iptables для новичков

[Protopopulus]

Косяки были не в iptables, а в кривых руках - неправильно работал с OpenVPN.

А теперь вопрос на засыпку...

Мой хост в локалке провайдера 10.63.154.13

Код: [Выделить]

iptables t nat -A PREROUTING -s 10.63.152.35 -j DNAT 10.63.152.35
Форвард разрешен, но в нем нет ни одного пакета, хотя в nat prerouting дикое количество пакетов.

З.Ы. Выкладываю правила, которые касаются только данной проблемы.

[MAvrON]

посмотрите пожалуйста, не могу разобраться почему почта 995 порт и RDP (через интернет) не хочет работать...

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Thu Jul  7 09:16:09 2011
*nat
:PREROUTING ACCEPT [257891:18132249]
:POSTROUTING ACCEPT [232:14219]
:OUTPUT ACCEPT [74709:5204014]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.110:5900
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.110:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Jul  7 09:16:09 2011
# Generated by iptables-save v1.4.4 on Thu Jul  7 09:16:09 2011
*filter
:INPUT DROP [27:1276]
:FORWARD DROP [69:3857]
:OUTPUT ACCEPT [401334:253196013]
-A INPUT ! -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j DROP
-A INPUT -p tcp -m tcp -m multiport --dports 25,587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 110,995 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 143,220,993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000:10010 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j DROP
-A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 220 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 10000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 10010 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 20000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 5222 -j ACCEPT
COMMIT
# Completed on Thu Jul  7 09:16:09 2011

[fisher74]

Потому что нет разрешающего правила для пакетов установленных соединений в цепочке FORWARD (судя по всему у клиентов не работает), то бишь закрыто для ответов серверов.

И зачем для внутренней сети это

*nat
...
-A POSTROUTING -o eth1 -j MASQUERADE

[MAvrON]

fisher74, честно не знаю. До меня было. Я просто работаю с месяц на данном предприятии... и с убунтой стал более плотно общасться только сейчас. Где раньше работал, там только Windows была... Вот и учусь
т.е. нужно дописать ?

Код: [Выделить]

-A FORWARD-m state --state ESTABLISHED -j ACCEPT
-A FORWARD-m state --state RELATED -j ACCEPT

[fisher74]

да, или

Код: [Выделить]

-A FORWARD-m state --state ESTABLISHED,RELATED -j ACCEPT

[MAvrON]

Очень благодарен за подсказки!!! Спасибо... теперь хоть можно забыть на не много времени о Linuxе, правда осталось настроить squid и sams, но это уже проще....

[NanoGlist]

Очень благодарен за подсказки!!! Спасибо... теперь хоть можно забыть на не много времени о Linuxе, правда осталось настроить squid и sams, но это уже проще....

Ага, проще пареной репы. 

[AlistaM]

Добрый день, поставил на шлюз openfire, подскажите как сделать чтобы iptables пропускал пользователей извне? то есть чтобы пользователи из интернета могли коннектиться к jabber серверу, openfire использует порты: 5222, 5223, 5269
правила iptables ниже:
eth1 - внешняя сеть, eth0- локальная

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Jul  7 13:06:12 2011
*filter
:INPUT DROP [177:16995]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [29036:8756520]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1020:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 3389 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Thu Jul  7 13:06:12 2011
# Generated by iptables-save v1.4.4 on Thu Jul  7 13:06:12 2011
*nat
:PREROUTING ACCEPT [1376:167884]
:OUTPUT ACCEPT [4320:316580]
:POSTROUTING ACCEPT [3163:241559]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.2:8080
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 83.83.83.83
COMMIT
# Completed on Thu Jul  7 13:06:12 2011

Пользователь решил продолжить мысль [time]Thu Jul  7 13:23:42 2011[/time]:

Очень благодарен за подсказки!!! Спасибо... теперь хоть можно забыть на не много времени о Linuxе, правда осталось настроить squid и sams, но это уже проще....

не спеши радоваться   хотя если без всякой там заморочистой авторизации то может и правда просто.

[fisher74]

....подскажите как сделать чтобы iptables пропускал пользователей извне? то есть чтобы пользователи из интернета могли коннектиться к jabber серверу, openfire использует порты: 5222, 5223, 5269

Код: [Выделить]

sudo iptables -A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT

[AlistaM]

спасибо!

[NanoGlist]

Доброго времени суток.
Поднял на своей машине два виртуальных хоста (Ubuntu 10.04.2 server).
Настроил между ними ipsec типа net-net, хотя могу и ошибаться, вот на всякий конфик
version 2.0

(Нажмите, чтобы показать/скрыть)

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
   interfaces="ipsec0=eth0"
   uniqueids=yes
   plutodebug=none
   klipsdebug=none
   charonstart=yes
   plutostart=yes

# Add connections here.
conn %default
   keyingtries=0
   leftrsasigkey=%cert
   rightrsasigkey=%cert
   ikelifetime=7200s
   keylife=900s
   rekeymargin=15s
   left=10.1.0.1
   leftcert=srv01.pem
   ike=3des-sha1-modp1024
   esp=3des-sha1
   pfs=yes



# Sample VPN connections

conn tun
      left=10.1.0.1
      leftsubnet=10.1.0.0/16
      leftcert=srv01.pem
      right=10.2.0.1
      rightsubnet=10.2.0.0/16
      rightid="C=RU, ST=Russia, L=Moscow, O=Home, CN=srv02, E=supergubka@mail.ru"
      auto=start
 

На второйсервере естественно все наоборот, запускаю проверяю, все шифруется туда обратно пакеты гоняются. ssh srv01<--->srv02 Тоже все гуд.
Далее настраиваю элементарные правила iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/bash
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT  -p all -i lo   -j ACCEPT
-A OUTPUT -p all -o lo   -j ACCEPT

# ISAKMP and ESP
-A INPUT  -p udp   -i eth0 -d 10.1.0.1 -s 10.2.0.1 --sport 500 --dport 500   -j ACCEPT
-A OUTPUT -p udp   -o eth0 -s 10.1.0.1 -d 10.2.0.1 --sport 500 --dport 500   -j ACCEPT
-A INPUT  -p esp   -i eth0 -d 10.1.0.1 -s 10.2.0.1   -j ACCEPT
-A OUTPUT -p esp   -o eth0   -s 10.1.0.1 -d 10.2.0.1 -j ACCEPT

# SSH <->
-A INPUT  -p tcp -m state -i eth0 -d 10.1.0.1 -s 10.2.0.1 --dport 1024:65535 --sport 22 --state ESTABLISHED   -j ACCEPT
-A OUTPUT -p tcp -m state -o eth0 -s 10.1.0.1 -d 10.2.0.1 --sport 1024:65535 --dport 22 --state NEW,ESTABLISHED   -j ACCEPT

# ICMP
-A INPUT  -p icmp -i eth0 -j ACCEPT
-A OUTPUT -p icmp -o eth0 -j ACCEPT

# Drop b&m cast
-A INPUT  -p udp -i eth0 --dport 67:68   -j DROP
-A INPUT  -p udp -i eth0 --dport 137:139 -j DROP
-A OUTPUT -p udp -o eth0 --dport 137:139 -j DROP
-A INPUT  -p 2    -i eth0 -s 0.0.0.0 -d 224.0.0.1 -j DROP

# LOG & DROP RULES
-A INPUT   -j LOG
-A OUTPUT   -j LOG
-A FORWARD   -j LOG
-A INPUT   -j DROP
-A OUTPUT   -j DROP
-A FORWARD   -j DROP

COMMIT

SSH перестает работать. ТСPDUMP на сервере к которому обращаюсь кажет что поступают пакеты SYN но ACK почемуто не отдается.
Не имею опыта настройки iptables, буду рад любой помощи.

Решение:
# SSH <->
-A INPUT  -p tcp -m state -i eth0 -d 10.1.0.1 -s 10.2.0.1 --dport 1024:65535 --sport 22 --state ESTABLISHED   -j ACCEPT
-A OUTPUT -p tcp -m state -o eth0 -s 10.1.0.1 -d 10.2.0.1 --sport 1024:65535 --dport 22 --state NEW,ESTABLISHED   -j ACCEPT

-A INPUT  -p tcp -m state -i eth0 -d 10.1.0.1 -s 10.2.0.1 --sport 1024:65535 --dport 22 --state ESTABLISHED   -j ACCEPT
-A OUTPUT -p tcp -m state -o eth0 -s 10.1.0.1 -d 10.2.0.1 --dport 1024:65535 --sport 22 --state NEW,ESTABLISHED   -j ACCEPT

И всего то как оказалось банальная невнимательность...совсем забыл, что второму серверу надо тоже открывать доступ...ну и еще один плюс в пользу отказа от копипасты 

[nik_user]

Очень благодарен за подсказки!!! Спасибо... теперь хоть можно забыть на не много времени о Linuxе, правда осталось настроить squid и sams, но это уже проще....

напиши в личку
Пользователь решил продолжить мысль 07 Июля 2011, 21:18:14:

Очень благодарен за подсказки!!! Спасибо... теперь хоть можно забыть на не много времени о Linuxе, правда осталось настроить squid и sams, но это уже проще....

напиши в личку

если будет время кину сегодня, но без картинок, мануал делал для себя, работает (проверял) от 8,04 -11,04, все делалось на сервере, работает как часы, единственный минус, ктоторый я не смог побороть, это если user поставил качать свыше, отрубить автоматом

[Protopopulus]

Код: [Выделить]

root@herodot:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        


root@herodot:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
root@herodot:~#
Почему в nat отсутствует INPUT и почему OUTPUT идет после POSTROUTING-а?

[AnrDaemon]

1. Вы не туда смотрите.
2. Вдобавок, вы ещё и бредите

порядок вывода статистики никакого отношения к работе системы не имеет. Это общеинформативная выкладка, предназначенная исключительно для ознакомления.

[Protopopulus]

Ладно, посмотрю как будет работать... Спасибо за информацию.
Пользователь решил продолжить мысль 09 Июля 2011, 15:06:39:

Код: [Выделить]

root@herodot:~# iptables -t nat -A INPUT -p udp
iptables: No chain/target/match by that nameКак это понимать?Нет там в nat цепочки INPUT!

(Нажмите, чтобы показать/скрыть)

AnrDaemon, говоришь, что все в порядке?..