HOWTO: Iptables для новичков

[Orcdestroyer]

  КЛасс статья))Как раз то,что искал.....респект!!

[Shwed]

имеем в таблице Filter в правилах Forward примерно следующее:

$IPTABLES -A FORWARD -p tcp --dport 53 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 25 -i $LAN_IFACE -j ACCEPT

как изменить правило для 80 порта так, чтобы выход по нему был разрешен не для всех, а для определенных ip?
что-нибудь в духе:
$IPTABLES -A FORWARD -p tcp --dport 80 -d ! 192.168.0.55  -j ACCEPT

?

[TrEK]

имеем в таблице Filter в правилах Forward примерно следующее:

$IPTABLES -A FORWARD -p tcp --dport 53 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 25 -i $LAN_IFACE -j ACCEPT

как изменить правило для 80 порта так, чтобы выход по нему был разрешен не для всех, а для определенных ip?
что-нибудь в духе:
$IPTABLES -A FORWARD -p tcp --dport 80 -d ! 192.168.0.55  -j ACCEPT

?

ну ддык...
-A FORWARD -p tcp -s [ip.1/mask] --dport 80 -j ACCEPT
-A FORWARD -p tcp -s [ip.2/mask] --dport 80 -j ACCEPT
-A FORWARD -p tcp -s [ip.3/mask] --dport 80 -j ACCEPT
-A FORWARD -p tcp -s [ip.n/mask] --dport 80 -j ACCEPT
-A FORWARD -p tcp --dport 80 -j DROP

[Shwed]

во, точно, сорри за глупый вопрос
хорошо ртфм`ить не послали, хотя надо бы ))
но я читаю, читаю. очень даже интересно

[ulan44]

Проблема такого рода
 есть локальная сеть, есть интернет, у провайдера есть своя бесплатная зона
в интернет ходят юзеры через vpn вот хочу организовать чтоб юзеры ходили на бесплатную зону без подключения
создаю правила
iptables="IPT"

inet1="xxx.xxx.xxx.xxx/24"
inet2="xxx.xxx.xxx.xxx/21"
inet3="xxx.xxx.xxx.xxx/19"

inet2_1="xxx.xxx.xxx.xxx/21"
inet2_2="xxx.xxx.xxx.xxx/23"
inet2_3="xxx.xxx.xxx.xxx/18"
и так далее до 20

$IPT -N localzone
$IPT -A localzone -p all -s $inet1 -j ACCEPT
$IPT -A localzone -p all -s $inet2 -j ACCEPT
$IPT -A localzone -p all -s $inet3 -j ACCEPT

$IPT -N localzone2
$IPT -A localzone2 -p all -s $inet2_1 -j ACCEPT
$IPT -A localzone2 -p all -s $inet2_2 -j ACCEPT
$IPT -A localzone2 -p all -s $inet2_3 -j ACCEPT
и так делее до 20 подсетей

так как у меня пользователей около 50 не буду же я писать допустим из 25 пользователям правила по 40 штук на каждого из них

[gard]

  Здрасьте!
Скажите почему имеется такая ошибка?
gard@gard-desktop:~$ sudo iptables  -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
[sudo] password for gard:
iptables: No chain/target/match by that name

Очевидно нет цепочки POSTROUTING (как и PREROUTING):
gard@gard-desktop:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere           
ACCEPT     all  --  anywhere             192.168.1.0/24     

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

Где ее взять? Как добавить?

[Lion-Simba]

Где ее взять? Как добавить?

Взять ее можно в таблице nat:

Код: [Выделить]

iptables -t nat -L


[gard]

Спасибо, вот вывод команды:
gard@gard-desktop:~$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination     

Однако..
gard@gard-desktop:~$ sudo iptables  -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables: No chain/target/match by that name


Простите, я понял свою ошибку!

Правила то по умолчанию добавляются в таблицу filter.. сделал так:
gard@gard-desktop:~$ sudo iptables  -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
gard@gard-desktop:~$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
gard@gard-desktop:~$


Сейчас нужно проверить.  Спасибо большое, если что еще попрошу о помощи!

[TrEK]

Спасибо, вот вывод команды:
gard@gard-desktop:~$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination     

Однако..
gard@gard-desktop:~$ sudo iptables  -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables: No chain/target/match by that name

а  sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE не пробовали?

[gard]

  Уже.. вспомнил! Поменял пост выше.

[mccar]

Всем привет.

Помогите, знающие люди. Столкнулся с такой проблемой - необходимо ограничить доступ пользователям локальной сети к определённым ресурсам посредством iptables. Но своими силами не получается.  Когда-то у знакомо на BSD я видел интересно настроенный файрвол. У него можно было заносить в специальный файлик названия блокируемых сайтов. Что-то типа acl в squid. Но под iptables такого нигде не могу найти. Да и добавить просто цепочку в правила не получается, цепочки то добавляются, но почему-то не работают.

Помогите пожалуйста.

Заранее благодарен.

[gard]

Ну у меня оно сразу реагирует тока я добавляю/меняю правила. Начинайте с простейшего, постепенно добавляйте.

[LDE2007]

Вопрос тот же, что и у mccar, т.е. запрещать пользователям локалки доступ к определенным ресурсам инета и запрещать закачку определенных типов файлов.

Пробовал написать так

iptables -A INPUT -s 192.168.0.10 -d www.google.ru -j DROP

где 192.168.0.10 - IP машины в локалке. Все равно ходит. Пробовал прописать вместо www.google.ru 209.85.129.99. Не работает. Где ошибка?

И еще, если нужно запретить сразу несколько ресурсов, можно ли прописать их в каком-то файле, а имя этого файла подставлять в правило?

Заранее спасибо!

[H1ghlander]

Есть 3 пк, на 1 Ubuntu, на 2 Windows.
Нужно, чтобы виндосовские компы не смогли обмениваться пакетами между собой.
На Ubuntu в iptables я пробывал прописывать что-то типо iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.3 -j DROP
где 192.168.1.2 1 виндосовский комп, а 192.168.1.3 второй, но обмен между 1 и 2 все равно происходят.
Все 3 пк соединены свичем и похоже, что 2 виндосовких пк соединяются на прямую минуя линукс с iptables'ом.
Шлюзом в Windowsах прописан ип линукса.
Так вот как мне осуществить задуманое или это вообще не выполнимо и я му..?

[LDE2007]

Если пишу так

sudo iptables -A FORWARD -s 192.168.0.10 -i eth1 -o eth0 -j DROP

то с этой машины полностью закрывается инет, т.е. правило срабатывает. Откываю доступ и пишу

sudo iptables -A FORWARD -s 192.168.0.10 -d 209.85.129.99 -i eth1 -o eth0 -j DROP

все равно ломится на google.ru. Что не так?

И имеет ли смысл использовать iptables для различных блокировок или это проще реализовать в squid?