HOWTO: Iptables для новичков

[fisher74]

или как-то по другому

[ivsatel]

Как узнать какие модули iptables загружены?

[fisher74]

Код: [Выделить]

lsmod | grep ipt?

[ivsatel]

Код: [Выделить]

lsmod | grep ipt

Код: [Выделить]

ipt_MASQUERADE          1863  1
ipt_REDIRECT            1269  1
iptable_nat             5219  1
nf_nat                 19501  3 ipt_MASQUERADE,ipt_REDIRECT,iptable_nat
iptable_mangle          3315  1
ipt_REJECT              2384  16
ipt_LOG                 5370  22
nf_conntrack_ipv4      12980  44 iptable_nat,nf_nat
nf_conntrack           73966  7 ipt_MASQUERADE,iptable_nat,nf_nat,xt_state,nf_conntrack_ipv4,xt_connlimit,xt_conntrack
iptable_filter          2791  1
ip_tables              18358  3 iptable_nat,iptable_mangle,iptable_filter
x_tables               22461  15 xt_tcpmss,ipt_MASQUERADE,ipt_REDIRECT,xt_multiport,iptable_nat,xt_TCPMSS,xt_limit,xt_state,ipt_REJECT,ipt_LOG,xt_tcpudp,xt_mac,xt_connlimit,xt_conntrack,ip_tablesИсходя из этого вопрос, загружен ли модуль connlimit или он подгружается совместно с nf_conntrack ?

[fisher74]

А чем xt_connlimit не устраивает?

[ivsatel]

А чем xt_connlimit не устраивает?

Хотел узнать функционирует он или нет.

[hawk_t]

Камрады, скажите правильно ли я делаю.
Суть - вернуть все взад, т.е. отключить НАТ, все правила, короче вернуть первоначальное состояние.
Что делаю
1. Коментирую строчки в /etc/sysctl.conf
#net.ipv4.ip_forward = 1
#net.ipv4.conf.default.rp_filter = 1
2. удаляю файл из ect\network\if-up.d\iptables-rules
3. iptables -F
проверяю
4. перегружаю
5. опять проверяю

Поправьте если что.

[fisher74]

Если 4, то 3 ненужное

[chikatillo]

Добрый день!
$IPTABLES -t nat -A PREROUTING -p tcp -s $Client_ip -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.100.10:3389

Есть необходимость пропускать 1-го клиента по мак адресу его т.к. айпи у него динамический, т.е. вместо Client_ip поставить Client_mac
Как это можно реализовать простейшим методом?

[fisher74]

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -p tcp --mac-source $MAC_client -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.100.10:3389

[ventru22]

Доброго времени суток!

Досталась от прошлого админа железка - Tandberg tcc8-07 (организация видеоконференции по h.323 протоколу), стоит она за прокси (ubuntu-server 10.04) и так уж получилось что она не знает что такое NAT, весь трафик широковещает по UDP аля:

Tue Aug 23 15:56:12 2011; UDP; eth0; 200 bytes; from 192.168.0.22:2326 to X.X.X.X:62108

может быть есть еще какие то варианты выпустить эту железку напрямую средствами iptables, кроме использования таблицы nat?

[fisher74]

Это выходит за рамки новичковской группы.

[chikatillo]

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -p tcp --mac-source $MAC_client -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.100.10:3389

Не катит - iptables v1.4.0: Unknown arg `--mac-source'
Если меняю на -m mac --mac-source  тогда ругается на --dport(

[fisher74]

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -m mac --mac-source $MAC_client -d $INET_IP -p tcp --dport 3389 -j DNAT --to-destination 192.168.100.10:3389Проверено. Работает.

[chikatillo]

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -m mac --mac-source $MAC_client -d $INET_IP -p tcp --dport 3389 -j DNAT --to-destination 192.168.100.10:3389Проверено. Работает.

Во блин, точно, наверное де-то я что-то лишнее добавил или стер)
Ну и в форвард же надо, добавил, завтра проверю:
iptables -A FORWARD -m mac  --mac-source 11:22:33:44:55:66 -d 192.168.100.10 -j ACCEPT
Так же?