HOWTO: Iptables для новичков

[fisher74]

или есть возможность указать куда сохранять правила и откуда считывать?

Есть
Только не спрашивайте меня как.

[hawk_t]

Нашел как я сохранял правила
# /etc/init.d/iptables save
# rc-update add iptables default
# nano /etc/sysctl.conf
как я понял я добавил скрипт в уровень запуска, и удалить его наверное rc-update del iptables default
подскажите как временно отключить эти правила из автозагрузки?

[ivsatel]

Есть ли существенная разница, в виде указания интерфейсов в правилах.

Пример:

iptables -A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P1: "
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P1: "

Тут соединение ppp1 поднято на интерфейсе eth1

Если есть то пожалуйста в краце объясните. Или дайте ссылку где можно почитать на эту тему.

[fisher74]

Конечно есть. И очень существенная. Я бы сказал капитальная. Для системы это фактически разные интерфейсы и не важно, что один внутри другого.
И поправлю: ppp1 подянято не на интерфейсе eth1, а через интерфейс eth1. То есть eth1 является транспортом для ppp

[ivsatel]

Задача запрета инициализации соединения извне. Имеем 2WAN инт-са типа ppp и LAN=eth0:

Решение №1
iptables -A FORWARD -i ppp0 -o eth0 -j LOG --log-prefix "iptIzVne1: "
iptables -A FORWARD -i ppp0 -o eth0 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -i ppp1 -o eth0 -j LOG --log-prefix "iptIzVne2: "
iptables -A FORWARD -i ppp1 -o eth0 -j REJECT --reject-with icmp-host-unreachable

Решение №2
iptables -A FORWARD -i ppp0 -o ppp0 -j LOG --log-prefix "iptInetFr2: "
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -i ppp1 -o ppp1 -j LOG --log-prefix "iptInetFr1: "
iptables -A FORWARD -i ppp1 -o ppp1 -j REJECT --reject-with icmp-host-unreachable

Я правильно понимаю что Решение №2 лишено смысла? И правильно ли решение №1

[AnrDaemon]

Оба решения не имеют смысла, ибо:
1. вы копаетесь в цепочке FORWARD. А про INPUT забыли?
2. правила выполняются последовательно. Выдергивать два правила из контекста всё равно что выдернуть печень или почку и помахав перед носом, поинтересоваться, будет ли она работать. После того, как вы выдернули? Конечно, не будет.

[ivsatel]

Вот как все выглядит полностью

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Очистка правил

iptables -F
iptables -t nat -F
iptables -t mangle -F

# Очистка всех цепочек

iptables -X
iptables -t nat -X
iptables -t mangle -X

# Очистка контейнеров

iptables -Z
iptables -Z -t nat
iptables -Z -t mangle

# Разрешить интерфейс 127.0.0.1

iptables -A INPUT -i lo -j ACCEPT

# Ограничение количества соединений

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.2/192.168.1.254 --syn  -m connlimit --connlimit-above 80 -j LOG --log-prefix "iptLimInTCP0: "
iptables -A INPUT -i eth0 -p tcp -s 192.168.1.2/192.168.1.254 --syn  -m connlimit --connlimit-above 80 -j DROP

# Защита

iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P1: "
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P2: "
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 23 -j LOG --log-prefix "ipt23P1: "
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 23 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 23 -j LOG --log-prefix "ipt23P2: "
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 23 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j LOG --log-prefix "ipt21P1: "
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j LOG --log-prefix "ipt20P1: "
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j LOG --log-prefix "ipt21P1: "
iptables -A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j LOG --log-prefix "ipt20P1: "
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -i ppp0 -o eth0 -j LOG --log-prefix "iptIzVne1: "
iptables -A FORWARD -i ppp0 -o eth0 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -i ppp1 -o eth0 -j LOG --log-prefix "iptIzVne2: "
iptables -A FORWARD -i ppp1 -o eth0 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -i ppp0 -o ppp0 -j LOG --log-prefix "iptInetFr2: "
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -i ppp1 -o ppp1 -j LOG --log-prefix "iptInetFr1: "
iptables -A FORWARD -i ppp1 -o ppp1 -j REJECT --reject-with icmp-host-unreachable
iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "iptInvalid: "
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -p icmp -f -j LOG --log-prefix "iptICMP: "
iptables -A FORWARD -p icmp -f -j DROP
iptables -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j LOG --log-prefix "iptFludLim: "
iptables -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
iptables -A FORWARD -p icmp -j DROP
iptables -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptFlud: "
iptables -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE

# Ограничение количества соединений

iptables -A FORWARD -o eth0 -p tcp -s 192.168.1.2/192.168.1.254 --syn  -m connlimit --connlimit-above 80 -j LOG --log-prefix "iptLimFrTCP1: "
iptables -A FORWARD -o eth0 -p tcp -s 192.168.1.2/192.168.1.254 --syn  -m connlimit --connlimit-above 80 -j DROP

# Разрешить DNAT

iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

# Разрешить существующие и установливаемые из локалки соединения

iptables -A FORWARD -d 192.168.1.0/24 -i ppp1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Разрешить интерфейс 127.0.0.1

iptables -A OUTPUT -o lo -j ACCEPT

# Перенапрвление на SQUID

iptables -t nat -A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

# Поднятие NAT

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE

# Выровнять MTU

iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

iptables-save >>/etc/iptables.conf

[AnrDaemon]

Мы вам тут не онлайн-интерпретаторы скриптов.
iptable-save показывайте.

[ivsatel]

Вот

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Sun Aug 14 01:20:33 2011
*filter
:INPUT ACCEPT [230:17926]
:FORWARD ACCEPT [240:50345]
:OUTPUT ACCEPT [407:38270]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.2/192.168.1.254 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimInTCP0: "
-A INPUT -s 192.168.1.2/192.168.1.254 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j DROP
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P2: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 23 -j LOG --log-prefix "ipt23P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 23 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 23 -j LOG --log-prefix "ipt23P2: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 23 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j LOG --log-prefix "ipt21P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j LOG --log-prefix "ipt20P1: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j LOG --log-prefix "ipt21P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j LOG --log-prefix "ipt20P1: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j REJECT --reject-with icmp-host-unreachable
-A FORWARD -i ppp0 -o eth0 -j LOG --log-prefix "iptIzVne1: "
-A FORWARD -i ppp0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp1 -o eth0 -j LOG --log-prefix "iptIzVne2: "
-A FORWARD -i ppp1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp0 -o ppp0 -j LOG --log-prefix "iptInetFr2: "
-A FORWARD -i ppp0 -o ppp0 -j REJECT --reject-with icmp-host-unreachable
-A FORWARD -i ppp1 -o ppp1 -j LOG --log-prefix "iptInetFr1: "
-A FORWARD -i ppp1 -o ppp1 -j REJECT --reject-with icmp-host-unreachable
-A FORWARD -m state --state INVALID -j LOG --log-prefix "iptInvalid: "
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p icmp -f -j LOG --log-prefix "iptICMP: "
-A FORWARD -p icmp -f -j DROP
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j LOG --log-prefix "iptFludLim: "
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A FORWARD -p icmp -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptFlud: "
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE
-A FORWARD -s 192.168.1.2/192.168.1.254 -o eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimFrTCP1: "
-A FORWARD -s 192.168.1.2/192.168.1.254 -o eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i ppp1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sun Aug 14 01:20:33 2011
# Generated by iptables-save v1.4.12 on Sun Aug 14 01:20:33 2011
*mangle
:PREROUTING ACCEPT [723:90811]
:INPUT ACCEPT [272:21752]
:FORWARD ACCEPT [420:67293]
:OUTPUT ACCEPT [407:38270]
:POSTROUTING ACCEPT [647:88615]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Aug 14 01:20:33 2011
# Generated by iptables-save v1.4.12 on Sun Aug 14 01:20:33 2011
*nat
:PREROUTING ACCEPT [297:19679]
:POSTROUTING ACCEPT [2:132]
:OUTPUT ACCEPT [2:132]
-A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Aug 14 01:20:33 2011

[AnrDaemon]

-m state --state RELATED,ESTABLISHED где?
-i lo ставить после RELATED,ESTABLISHED
--state INVALID надо дропать первыми.
tcp проще скидывать с tcp-reset

[ivsatel]

-m state --state RELATED,ESTABLISHED где?

Спасибо

-i lo ставить после RELATED,ESTABLISHED

Исправил

--state INVALID надо дропать первыми.

Исправил

tcp проще скидывать с tcp-reset

Спасибо
Однако задача с блокировкой доступа извне, осталась не решенной... Пока закоментировал эти строки(

[AnrDaemon]

А вот теперь
-P INPUT DROP
-P FORWARD DROP
И не надо изобретать велосипеда.

[ivsatel]

А вот теперь
-P INPUT DROP
-P FORWARD DROP
И не надо изобретать велосипеда.

А следующий шаг это открытие/разрешение портов?

[AnrDaemon]

Угу.

[winmasta]

доброго всем времени суток, подскажите пожалуйста как задать переменную для нескольких сетей с масками например WAN_IP_RANGE="192.168.1.1/255.255.255.0 10.1.1.1/255.255.255.240" интересует как писать в кавычках серез пробел или через запятую или как-то по другому это реализовать нужно ?
спасибо за ответы