HOWTO: Iptables для новичков

[fisher74]

Обсуждение работы TCP-протокола и формирование его пакетов системой выходит за рамки данного топика.
Так Вам помогло?

[klif]

Обсуждение работы TCP-протокола и формирование его пакетов системой выходит за рамки данного топика.
Так Вам помогло?

Да. Спасибо!

[ivsatel]

Почему так много раз повторяется:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sun Aug  7 01:18:21 2011
*filter
:INPUT ACCEPT [47149:7402339]
:FORWARD ACCEPT [790202:541256314]
:OUTPUT ACCEPT [42163:7491338]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/192.168.1.254 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
-A FORWARD -i eth2 -o eth2 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 15/min -j QUEUE
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A FORWARD -p icmp -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth2 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
-A FORWARD -i eth2 -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Sun Aug  7 01:18:21 2011
# Generated by iptables-save v1.4.4 on Sun Aug  7 01:18:21 2011
*mangle
:PREROUTING ACCEPT [845673:549460409]
:INPUT ACCEPT [47264:7414669]
:FORWARD ACCEPT [793665:541454898]
:OUTPUT ACCEPT [42163:7491338]
:POSTROUTING ACCEPT [832365:548747652]
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Aug  7 01:18:21 2011
# Generated by iptables-save v1.4.4 on Sun Aug  7 01:18:21 2011
*nat
:PREROUTING ACCEPT [39450:2776042]
:POSTROUTING ACCEPT [10549:774250]
:OUTPUT ACCEPT [10549:774250]
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Aug  7 01:18:21 2011

[AnrDaemon]

Потому что вы так настроили.
Если вы хотите получить другой ответ - задайте вопрос иначе.

[ivsatel]

Потому что вы так настроили.
Если вы хотите получить другой ответ - задайте вопрос иначе.

А как правильно настроить? Применение правил от сюда https://forum.ubuntu.ru/index.php?topic=107492.0
Но вот почему они повторяются непойму(

[AnrDaemon]

Покажите содержимое
/etc/iptables.conf
/etc/network/interfaces

[ivsatel]

Покажите содержимое
/etc/iptables.conf
/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sun Aug  7 02:40:49 2011
*mangle
:PREROUTING ACCEPT [1970:471106]
:INPUT ACCEPT [701:195876]
:FORWARD ACCEPT [525:231652]
:OUTPUT ACCEPT [383:55522]
:POSTROUTING ACCEPT [908:287174]
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Aug  7 02:40:49 2011
# Generated by iptables-save v1.4.4 on Sun Aug  7 02:40:49 2011

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback
    post-up iptables-restore </etc/iptables.conf

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        # dns-* options are implemented by the resolvconf package, if installed
        dns-search home

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth2 up # line maintained by pppoeconf
provider dsl-provider

auto dsl-provider2
iface dsl-provider2 inet ppp
pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf
provider dsl-provider2

auto eth2
iface eth2 inet manual
auto eth1
iface eth1 inet manual

[AnrDaemon]

Уберите дублирующиеся линии из /etc/iptables.conf и перезагрузите машину.

[ivsatel]

Уберите дублирующиеся линии из /etc/iptables.conf и перезагрузите машину.

Вот результат

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sun Aug  7 09:50:42 2011
*nat
:PREROUTING ACCEPT [302:41633]
:POSTROUTING ACCEPT [150:10449]
:OUTPUT ACCEPT [150:10449]
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Aug  7 09:50:42 2011
# Generated by iptables-save v1.4.4 on Sun Aug  7 09:50:42 2011
*mangle
:PREROUTING ACCEPT [10703:9685989]
:INPUT ACCEPT [395:63142]
:FORWARD ACCEPT [10222:9611811]
:OUTPUT ACCEPT [326:33135]
:POSTROUTING ACCEPT [10442:9638348]
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Aug  7 09:50:42 2011
# Generated by iptables-save v1.4.4 on Sun Aug  7 09:50:42 2011
*filter
:INPUT ACCEPT [345:57750]
:FORWARD ACCEPT [10116:9605213]
:OUTPUT ACCEPT [326:33135]
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 192.168.1.0/192.168.1.254 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
-A FORWARD -i eth2 -o eth2 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 15/min -j QUEUE
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A FORWARD -p icmp -j DROP
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth2 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
-A FORWARD -i eth2 -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Sun Aug  7 09:50:42 2011
root@server:~#

[AnrDaemon]

Не всё убрали.
Либо повторно химичили с настройками.

[hawk_t]

Подскажите как правильно сделать.
Задача такая
1.сохранить текущие правила в отдельное место, чтоб не потерять. (они сейчас, вроде как, сохранены и находятся в папке ect\network\if-up.d\iptables-rules,

(Нажмите, чтобы показать/скрыть)

#! /sbin/iptables-restore
# Generated by iptables-save v1.4.4 on Mon Aug 23 12:42:54 2010
*nat
:PREROUTING ACCEPT [7176:657745]
:POSTROUTING ACCEPT [601:65624]
:OUTPUT ACCEPT [604:66122]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Aug 23 12:42:54 2010
# Generated by iptables-save v1.4.4 on Mon Aug 23 12:42:54 2010
*filter
:INPUT ACCEPT [911:83972]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7300:9599393]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT ! -i eth1 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth1 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth1 -p tcp -m tcp --dport 0:9023 -j DROP
-A INPUT ! -i eth1 -p udp -m udp --dport 0:9023 -j DROP
-A FORWARD -d 192.168.0.0/16 -i eth1 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i eth0 -j ACCEPT
COMMIT
# Completed on Mon Aug 23 12:42:54 2010

т.е. после перезагрузки все правила сохраняются) может так iptables-save -c > /etc/network/firewall.conf?
2.сбросить все правила (iptables -F так?)
3.сохранить (чтоб после перезагрузки не подгружались ранее сохраненные правила, вроде как чистая машина, без правил)
и в случае непредвиденных обстоятельств вернуть все взад, т.е.:
4.загрузить ранее сохраненные правила (самые первые) может так iptables-restore -c < /etc/network/firewall.conf?
5. сохранить

[fisher74]

Гхм...
3. просто убрать восстановление правил из автозагрузки.
Как у Вы правила при старте системы загружаете?

[hawk_t]

Гмм... уже не помню, давно строил, я вообще в никсах не силен, нарисовалась задача сделать из компа хранилище и NAT, т.к. железный роутер со своей задачей справлялся процентов на 30, и я решил сделать из своего хранилища/качалки еще и роутер, а железный свичем. Неделю курил мануалы, лазил по форумам и сделал что хотел, а сейчас не вспомню, надо начинать почти с нуля. А как то можно посмотреть как он автозагружается? И, действительно, убрать из автозагрузки?

[fisher74]

копать Вами же указанную кманду iptables-restore:
в /etc/network/interfaces или /etc/network/if-up.d/* или /etc/network/if-pre-up.d/*
в /etc/rc.*
в /etc/init.d/*

[hawk_t]

У меня в папке network четыре папки: if-down.d, if-post-down.d, if-pre-up.d, if-up.d и только в последней есть iptables
Как лучше сделать?
iptables -F
а потом iptables-save
или сразу iptables-restore
или есть возможность указать куда сохранять правила и откуда считывать?