HOWTO: Iptables для новичков

[MemFix]

Парни, прошу вашей помощи. третью ночь не сплю. ) вообщем установил на ubuntu server 10.04  squid, dhcp, samba. все работает норм, необходимо открыть порты для почты и пары других приложений. усилиями гугла написал скрипт для iptables. как только его запускаю в локальной сети перестает работать всё(dhcp не раздаёт ip, до сквида не достучаться) ну и соответственно нужные порты не открываются. ))) прошу вашей помощи.с ума схожу уже. ниже скрипт:

Код: [Выделить]

#!/bin/sh

ipt="/sbin/iptables -v"


# Непривилегированные порты
upp="1024:65535"
# Исходящие порты, которые надо открыть
acp="21 22 25 80 443 587 993 873 67 68 3128 110 10000"
# Входящие порты, которые надо открыть
acip="21 22 80 10000 137 138 139 445 25 110"

# Интерфейс, смотрящий наружу
eif="eth0"
eip="`ifconfig $eif | grep 'inet addr' | awk '{print $2}' | sed 's/^\w\+://g'`"

# Интерфейс, смотрящий в сеть
iif="eth1"
iip="`ifconfig $iif | grep 'inet addr' | awk '{print $2}' | sed 's/^\w\+://g'`"

# Удалить все существующие правила
$ipt -F
$ipt -t nat -F
$ipt -t mangle -F
$ipt -X
$ipt -t nat -X
$ipt -t mangle -X

# По-умолчанию выбрасывать все пакеты
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP

# Включить NAT.
# Предварительно нужно включить net.ipv4.ip_forward в /etc/sysctl.conf
$ipt -t nat -A POSTROUTING -o $eif -j MASQUERADE
$ipt -A FORWARD -i $iif -o $eif -m state --state NEW,ESTABLISHED -j ACCEPT

# Разрешить любой трафик внутри сети и по обратной петле
$ipt -A INPUT -i $iif -j ACCEPT
$ipt -A OUTPUT -o $iif -j ACCEPT
$ipt -A INPUT -d $iip -j ACCEPT
$ipt -A OUTPUT -d $iip -j ACCEPT
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

# Разрешить пакеты, идущие по установленному соединению
$ipt -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Защита системы, не вникал
$ipt -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$ipt -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
$ipt -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
$ipt -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
$ipt -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT 
$ipt -A INPUT -p UDP -j RETURN
$ipt -A OUTPUT -p UDP -s 0/0 -j ACCEPT
$ipt -A INPUT --fragment -p ICMP -j DROP
$ipt -A OUTPUT --fragment -p ICMP -j DROP
$ipt -A INPUT   -m state --state INVALID -j DROP
$ipt -A FORWARD -m state --state INVALID -j DROP

# Разрешить исходящие эхо-сообщения
$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type source-quench -j ACCEPT
$ipt -A OUTPUT -p icmp -m icmp -o $eif --icmp-type source-quench -j ACCEPT
$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type echo-reply -j ACCEPT
$ipt -A OUTPUT -p icmp -m icmp -o $eif --icmp-type echo-request -j ACCEPT
# Разрешить входящий ICMP-трафик
#$ipt -A INPUT -p icmp -j ACCEPT
#$ipt -A OUTPUT -p icmp -j ACCEPT

# Разрешить сообщения об ошибках через ICMP
$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type parameter-problem -j ACCEPT
$ipt -A OUTPUT -p icmp -m icmp -o $eif --icmp-type parameter-problem -j ACCEPT

$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type source-quench -j ACCEPT
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 113 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 113 -j ACCEPT ! --syn
$ipt -A INPUT -p tcp -m tcp -i $eif --dport 113 -j DROP

# Открыть исходящие порты
for outp in $acp; do
    $ipt -A OUTPUT -p tcp -m tcp -o $eif --dport $outp --sport $upp -j ACCEPT
    $ipt -A FORWARD -p tcp -m tcp -i $iif -o $eif --dport $outp -j ACCEPT
    $ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport $outp -j ACCEPT ! --syn
done

# finger, whois, gorper, wais, traceroute
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 20 -j ACCEPT
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 20 --sport $upp -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport $upp --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport $upp -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 23 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 23 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 79 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 79 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 43 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 43 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 70 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 70 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 210 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 210 -j ACCEPT ! --syn
$ipt -A OUTPUT -p udp -m udp -o $eif --dport 33434:33523 --sport 32769:65535 -j ACCEPT

# Открыть входящие порты
for inp in $acip; do
    $ipt -A INPUT -p tcp -m tcp --dport $inp --sport $upp -i $eif -d $eip -j ACCEPT
    $ipt -A OUTPUT -p tcp -m tcp --sport $inp --dport $upp -o $eif -s $eip -j ACCEPT
done


######
# SAVE #
# В разделе SAVE сохраняется конфиг, что бы после перезагрузки шлюза#
# настройки iptables восстановились автоматически. #
######
iptables-save > /etc/iptables.rules





[AnrDaemon]

1. Читать правила форума. Причём бегом.
2. Показывать вывод iptable-save. Мы вам не онлайн-интерпретаторы скриптов.

[MemFix]

iptables.save

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Tue Aug  2 21:08:19 2011
*mangle
:PREROUTING ACCEPT [12086:10787642]
:INPUT ACCEPT [12002:10776560]
:FORWARD ACCEPT [72:10462]
:OUTPUT ACCEPT [12962:11096913]
:POSTROUTING ACCEPT [13030:11108358]
COMMIT
# Completed on Tue Aug  2 21:08:19 2011
# Generated by iptables-save v1.4.4 on Tue Aug  2 21:08:19 2011
*nat
:PREROUTING ACCEPT [53:3559]
:POSTROUTING ACCEPT [6:1150]
:OUTPUT ACCEPT [156:11050]
[142:9440] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Aug  2 21:08:19 2011
# Generated by iptables-save v1.4.4 on Tue Aug  2 21:08:19 2011
*filter
:INPUT ACCEPT [1598:139806]
:FORWARD ACCEPT [11:560]
:OUTPUT ACCEPT [1329:452002]
[4077:276351] -A INPUT -i eth1 -j ACCEPT
[0:0] -A INPUT -d 192.168.0.1/32 -j ACCEPT
[4:200] -A INPUT -i lo -j ACCEPT
[7912:10499111] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[2:116] -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[2:522] -A INPUT -p udp -m udp --dport 138 -j DROP
[0:0] -A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A INPUT -p udp -j RETURN
[0:0] -A INPUT -p icmp -f -j DROP
[0:0] -A INPUT -m state --state INVALID -j DROP
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 113 -j DROP
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 587 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 993 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 873 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 67 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 68 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 3128 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 10000 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 70 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 210 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 10000 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 137 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 138 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 139 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 445 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
[33:2394] -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
[39:8068] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 587 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 993 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 67 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 68 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 10000 -j ACCEPT
[7661:10655334] -A OUTPUT -o eth1 -j ACCEPT
[0:0] -A OUTPUT -d 192.168.0.1/32 -j ACCEPT
[4:200] -A OUTPUT -o lo -j ACCEPT
[10:560] -A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[93:6754] -A OUTPUT -p udp -j ACCEPT
[0:0] -A OUTPUT -p icmp -f -j DROP
[0:0] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
[5021:381240] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[12:2053] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 587 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 993 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 873 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 67 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 68 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 3128 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 10000 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 70 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 210 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 -j ACCEPT
[100:37608] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 22 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 10000 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 137 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 138 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 139 --dport 1024:65535 -j ACCEPT
[2:112] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 445 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Tue Aug  2 21:08:19 2011


[fisher74]

Ещё бы убрать эту простынку под спойлер и показать ifconfig с раскладкой

[MemFix]

eth0      Link encap:Ethernet  HWaddr 00:11:85:e1:42:c4 
          inet addr:192.168.1.4  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::211:85ff:fee1:42c4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:43 errors:0 dropped:0 overruns:0 frame:0
          TX packets:93 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6689 (6.6 KB)  TX bytes:15458 (15.4 KB)
          Interrupt:20

eth1      Link encap:Ethernet  HWaddr 00:e0:52:aa:88:8c 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:16 Base address:0x1000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

eth0 смотрит в инет
eth1 локальная сеть

# Generated by iptables-save v1.4.4 on Tue Aug  2 21:08:19 2011
*mangle
:PREROUTING ACCEPT [12086:10787642]
:INPUT ACCEPT [12002:10776560]
:FORWARD ACCEPT [72:10462]
:OUTPUT ACCEPT [12962:11096913]
:POSTROUTING ACCEPT [13030:11108358]
COMMIT
# Completed on Tue Aug  2 21:08:19 2011
# Generated by iptables-save v1.4.4 on Tue Aug  2 21:08:19 2011
*nat
:PREROUTING ACCEPT [53:3559]
:POSTROUTING ACCEPT [6:1150]
:OUTPUT ACCEPT [156:11050]
[142:9440] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Aug  2 21:08:19 2011
# Generated by iptables-save v1.4.4 on Tue Aug  2 21:08:19 2011
*filter
:INPUT ACCEPT [1598:139806]
:FORWARD ACCEPT [11:560]
:OUTPUT ACCEPT [1329:452002]
[4077:276351] -A INPUT -i eth1 -j ACCEPT
[0:0] -A INPUT -d 192.168.0.1/32 -j ACCEPT
[4:200] -A INPUT -i lo -j ACCEPT
[7912:10499111] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[2:116] -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[2:522] -A INPUT -p udp -m udp --dport 138 -j DROP
[0:0] -A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A INPUT -p udp -j RETURN
[0:0] -A INPUT -p icmp -f -j DROP
[0:0] -A INPUT -m state --state INVALID -j DROP
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 113 -j DROP
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 587 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 993 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 873 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 67 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 68 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 3128 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 10000 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 70 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 210 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 10000 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 137 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 138 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 139 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 445 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
[0:0] -A INPUT -d 192.168.1.4/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
[33:2394] -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
[39:8068] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 587 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 993 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 67 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 68 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 10000 -j ACCEPT
[7661:10655334] -A OUTPUT -o eth1 -j ACCEPT
[0:0] -A OUTPUT -d 192.168.0.1/32 -j ACCEPT
[4:200] -A OUTPUT -o lo -j ACCEPT
[10:560] -A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[93:6754] -A OUTPUT -p udp -j ACCEPT
[0:0] -A OUTPUT -p icmp -f -j DROP
[0:0] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
[5021:381240] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[12:2053] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 587 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 993 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 873 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 67 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 68 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 3128 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 10000 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 70 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 210 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 -j ACCEPT
[100:37608] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 22 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 10000 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 137 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 138 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 139 --dport 1024:65535 -j ACCEPT
[2:112] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 445 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.1.4/32 -o eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Tue Aug  2 21:08:19 2011

[klif]

Настраиваю домашний роутер, есть проблема с iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Aug  4 10:44:59 2011
*mangle
:PREROUTING ACCEPT [557515:683054201]
:INPUT ACCEPT [9660:2373703]
:FORWARD ACCEPT [547533:680694462]
:OUTPUT ACCEPT [8142:1569081]
:POSTROUTING ACCEPT [554014:682151355]
COMMIT
# Completed on Thu Aug  4 10:44:59 2011
# Generated by iptables-save v1.4.4 on Thu Aug  4 10:44:59 2011
*nat
:PREROUTING ACCEPT [3028:170299]
:POSTROUTING ACCEPT [706:50782]
:OUTPUT ACCEPT [611:40266]
-A PREROUTING -p tcp -m tcp --dport 3001 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -p udp -m udp --dport 3002 -j DNAT --to-destination 192.168.1.2
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Aug  4 10:44:59 2011
# Generated by iptables-save v1.4.4 on Thu Aug  4 10:44:59 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_packets - [0:0]
:icmp_p - [0:0]
:tcp_p - [0:0]
:udp_p - [0:0]
-A INPUT -p tcp -j bad_packets
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_p
-A INPUT -i ppp0 -p udp -j udp_p
-A INPUT -i ppp0 -p icmp -j icmp_p
-A FORWARD -p tcp -j bad_packets
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -j bad_packets
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o br0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_p -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_p -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_p -p icmp -j DROP
-A tcp_p -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_p -p tcp -j DROP
-A udp_p -p udp -m udp --dport 53 -j ACCEPT
-A udp_p -p udp -m udp --dport 123 -j ACCEPT
-A udp_p -p udp -j DROP
COMMIT

с данными настройками не могу зайти на некоторые сайты (habrahabr.ru) , просто висит.
А вот с таким нормально работает:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i br0 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i ppp0 -o br0 -j REJECT

В чем может быть косяк ?

[serjpart]

Всем здрасти. Подскажите как настроить rdp,  с дома хочу заходить на рабочий комп. что на шлюзе нужно прописать? шлюз на убунте

[fisher74]

В чем может быть косяк ?

*filter
...
:OUTPUT DROP [0:0]

В некоторых кругах считается, что это всегда влечёт за собой ошибку (собственно, обычно это подтверждается)

Код: [Выделить]

sudo iptables -P OUTPUT ACCEPTПользователь решил продолжить мысль 04 Августа 2011, 08:29:36:
Хотя подумав.. я понял, что дело в MTU

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Пользователь решил продолжить мысль 04 Августа 2011, 08:35:13:

с дома хочу заходить на рабочий комп. что на шлюзе нужно прописать? шлюз на убунте

Нужно пробросить порт 3389. Как именно? Для этого нужно чуть побольше сведений, а именно, как построена сеть.
Но я бы не стал высовываться "голым задом" в интернет. Лучше создать vpn и работать внутри неё безо всяких "пробросов".

[serjpart]

знать бы ещё как(

[fisher74]

знать бы ещё как(

Пробростить примерно так  (раз уж мы в теме про таблесы)

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389-j DNAT --to-destination 192.168.15.6
sudo iptables -A FORWARD -d 192.168.15.6 -p tcp --dport 3389 -j ACCEPTПро всё остальное предлагаю продолжить в Вашей теме.

[klif]

Хотя подумав.. я понял, что дело в MTU

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А можно немного подробнее ?

[fisher74]

Что подробнее? команду разложить? Для этого Iptables Tutorial есть

[klif]

Что подробнее? команду разложить? Для этого Iptables Tutorial есть

Как MTU влияет на доступ к сайту.

[fisher74]

TCP-пакеты длиной 1500 не могут пролезть через туннель, в котором максимальная длина пакета 1492 (или того меньше) по понятным причинам.

[klif]

TCP-пакеты длиной 1500 не могут пролезть через туннель, в котором максимальная длина пакета 1492 (или того меньше) по понятным причинам.

но на другие сайты он меня пускает! По  ifconfig для  ppp0 MTU 1492.