HOWTO: Iptables для новичков

[chikatillo]

повторюсь:
$IPTABLES -t nat -A PREROUTING -p tcp -s $Client_ip -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.100.10:3389
Теперь мне нужно вместо $Client_ip имя хоста  типа - h.dyndns.org
Но когда я делаю
$IPTABLES -t nat -A PREROUTING -p tcp -s h.dyndns.org -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.100.10:3389
то iptables записывает не имя а ip которому в данный момент принадлежит h.dyndns.org через 30 минут айпишник поменялся а в iptables то нет...
Т.е. нужно скрипт каждый час обновлять и очищать перед этим старые правила получается....((((
С маком не катит комп ведь  за натом

[AnrDaemon]

Повторюсь - нахрена там вообще адрес писать?

[chikatillo]

Повторюсь - нахрена там вообще адрес писать?

а как еще, ip динамический, и на серваке политика пропускать только по айпи, а в данном случае у хоста динамика
как iptables будет знать какой айпи щас у хоста, это вроде самый простой способ получается...

[fisher74]

iptables не умеет имена хостов. Либо скриптуй замену адреса в правилах (не лучшее решение, я бы даже сказал - худшее), либо используй другой способ защиты.

[chikatillo]

iptables не умеет имена хостов. Либо скриптуй замену адреса в правилах (не лучшее решение, я бы даже сказал - худшее), либо используй другой способ защиты.

Ну работает же....не хочется из-за одного чела делать vpn...

[AnrDaemon]

Повторюсь - нахрена там вообще адрес писать?

а как еще

НЕ ПИСАТЬ АДРЕС.

[Avolon]

Народ помогите!!
Есть squid sams rejik iptables
Не работае icq
Методом исключение выяснилось что виноват iptables
вот iptables-save

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 04:54:32 2011
*mangle
:PREROUTING ACCEPT [146:16280]
:INPUT ACCEPT [134:15344]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:28063]
:POSTROUTING ACCEPT [118:28063]
COMMIT
# Completed on Tue Sep 13 04:54:32 2011
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 04:54:32 2011
*nat
:PREROUTING ACCEPT [26:2000]
:INPUT ACCEPT [2:128]
:OUTPUT ACCEPT [3:179]
:POSTROUTING ACCEPT [1:59]
-A PREROUTING ! -d 192.168.2.0/24 -p tcp -m iprange --src-range 192.168.2.100-192.168.2.254 -m multiport --dports 80,8080,5190 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Sep 13 04:54:32 2011
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 04:54:32 2011
*filter
:INPUT DROP [12:936]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3:179]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 53 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m multiport --dports 53 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -d 192.168.2.0/24 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Sep 13 04:54:32 2011

вот так не хотит ((

Но если я с

Код: [Выделить]

$ipt -t nat -A PREROUTING -m iprange --src-range 192.168.2.100-192.168.2.254 ! -d 192.168.2.0/24 -m multiport -p tcp --dports 80,8080,5190 -j REDIRECT --to-port 3128
Уберу с правила 5190 и  в клиенте icq в ручную поставлю прокси ,то все  работает ((((
В чем подвох незнаю странички открывает а вот icq не хотить работать
в squid

Код: [Выделить]

http_port 3128 transparent
Ткните носом где не прав!!

[fisher74]

Код: [Выделить]

sudo grep acl /etc/squid*/squid.conf | grep -v '^#\|^$'Клиент точно на 5190 настроен?

[Avolon]

Вот

(Нажмите, чтобы показать/скрыть)

grep acl /etc/squid*/squid.conf | grep -v '^#\|^$'acl _sams_4e6899e324641 src "/etc/squid/4e6899e324641.sams"
acl _sams_4e6899e324641_time time MTWHFAS 00:00-23:59
acl _sams_4e675242b5afb src "/etc/squid/4e675242b5afb.sams"
acl _sams_4e675242b5afb_time time MTWHFAS 00:00-23:59
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache
acl icq port 5190
acl jabber port 5222
acl jabbertls port 5223

Пока сделал так для одного

Код: [Выделить]

$ipt -t nat -A POSTROUTING -s 192.168.2.203 -m multiport -p tcp --dports 5190 -j MASQUERADE


[fisher74]

Код: [Выделить]

sudo grep 'Safe_ports\|icq' /etc/squid*/squid.conf | grep -v '^#\|^$'Правило непонятное Вы добавили...

[Avolon]

с этим правилом работает icq по другому ни как

(Нажмите, чтобы показать/скрыть)

sudo grep 'Safe_ports\|icq' /etc/squid*/squid.conf | grep -v '^#\|^$'
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl icq port 5190
acl Safe_ports port 5190
http_access deny CONNECT !Safe_ports

[fisher74]

с этим правилом работает icq по другому ни как

Естественно. Вы вторую подсетку не маскарадите, хотя в цепочке форвард её в обе стороны пропускаете.

Не понятно зачем правила в цепочке OUTPUT при дефолтном правиле ACCEPT

В кальмаре лишние правила накрутили

acl icq port 5190
acl Safe_ports port 5190

как минимум в группе Safa_ports он уже присутсвует

Код: [Выделить]

acl Safe_ports port 1025-65535 # unregistered ports

[Avolon]

Все я вообще потерялся (((
По дефолту у меня

Код: [Выделить]

#!/bin/bash
#eth0-inet
#eth2-local
ipt="/sbin/iptables"; [ ! -f $ipt ] && ipt=`which iptables`[ ! -f $ipt ] && echo "Couldn't find iptables, exiting!" && exit 1
iptables -F
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
##Правила по умолчанию
$ipt -P INPUT  DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP

А в iptables-save показывает ACCEPT

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12.1 on Tue Sep 13 07:52:39 2011
*mangle
:PREROUTING ACCEPT [8130:1348961]
:INPUT ACCEPT [6531:764170]
:FORWARD ACCEPT [1066:524021]
:OUTPUT ACCEPT [5541:1526601]
:POSTROUTING ACCEPT [6610:2052346]
COMMIT
# Completed on Tue Sep 13 07:52:39 2011
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 07:52:39 2011
*nat
:PREROUTING ACCEPT [1350:135274]
:INPUT ACCEPT [371:23490]
:OUTPUT ACCEPT [77:5721]
:POSTROUTING ACCEPT [96:6354]

Так нада???
И навсяк случай выложу весь

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 07:52:39 2011
*mangle
:PREROUTING ACCEPT [8130:1348961]
:INPUT ACCEPT [6531:764170]
:FORWARD ACCEPT [1066:524021]
:OUTPUT ACCEPT [5541:1526601]
:POSTROUTING ACCEPT [6610:2052346]
COMMIT
# Completed on Tue Sep 13 07:52:39 2011
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 07:52:39 2011
*nat
:PREROUTING ACCEPT [1350:135274]
:INPUT ACCEPT [371:23490]
:OUTPUT ACCEPT [77:5721]
:POSTROUTING ACCEPT [96:6354]
-A PREROUTING ! -d 192.168.2.0/24 -p tcp -m iprange --src-range 192.168.2.100-192.168.2.254 -m multiport --dports 80,8080,5190 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Sep 13 07:52:39 2011
# Generated by iptables-save v1.4.12.1 on Tue Sep 13 07:52:39 2011
*filter
:INPUT DROP [518:58214]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [24:2964]
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 53 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m multiport --dports 53 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i PPP0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 16667 -j ACCEPT
-A INPUT -i ppp+ -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 47 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20001 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 15/min -j QUEUE
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A FORWARD -p icmp -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -d 192.168.2.0/24 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Tue Sep 13 07:52:39 2011

Вот так ICQ не работает!!!!
А если пропишу вручную proxy и порт то все работает как часики
Сам скрипт который подгружается

(Нажмите, чтобы показать/скрыть)

cat ip
#!/bin/bash
#eth0-inet
#eth2-local
ipt="/sbin/iptables"; [ ! -f $ipt ] && ipt=`which iptables`[ ! -f $ipt ] && echo "Couldn't find iptables, exiting!" && exit 1
iptables -F
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
##Правила по умолчанию
$ipt -P INPUT  DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP

#Защита
$ipt -A FORWARD -p tcp --syn -m connlimit --connlimit-above 60 -j REJECT
#защита от скрытого сканирования портов
$ipt -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
# Блокируем черезмерно большое кол-во icmp запрсов.
$ipt -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
$ipt -t filter -A FORWARD -p icmp -j DROP
#От Атак
$ipt -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
##будет блокировать все попытки открыть входящее TCP-соединение не SYN-пакетом.
#Попытка установить соединение таким образом может быть либо ошибкой, либо атакой.
$ipt -I INPUT -m state --state NEW -p tcp ! --syn -j DROP
###Защита от пинг смерти
$ipt -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type echo-request -j DROP
# FIXED_MSS_for_PPTP
$ipt -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#перенапровляем  на проксю весь запрос
$ipt -t nat -A PREROUTING -m iprange --src-range 192.168.2.100-192.168.2.254 ! -d 192.168.2.0/24 -m multiport -p tcp --dports 80,8080,5190 -j REDIRECT --to-port 3128
#INPUT цепочка
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -p tcp -m multiport --dports 53 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -m multiport --dports 53 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p icmp -j ACCEPT #разрешить пинг
$ipt -A INPUT -p tcp -i eth2 --dport 3128 -j ACCEPT #Squid
$ipt -A INPUT -p tcp -i PPP0 --dport 3128 -j ACCEPT #Squid
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT #WEB
$ipt -A INPUT -p tcp --dport 53 -j ACCEPT #DNS
$ipt -A INPUT -p udp --dport 53 -j ACCEPT #DNS
$ipt -A INPUT -p tcp --dport 22 -j ACCEPT #SSH
$ipt -A INPUT -p tcp --dport 10000 -j ACCEPT #WEBMIN
$ipt -A INPUT -p tcp --dport 16667 -j ACCEPT #Jabber
#VPN
# Разрешаем пакеты для интерфейсов pptp.
$ipt -A INPUT -i ppp+ -j ACCEPT
$ipt -A INPUT -p gre -j ACCEPT
$ipt -A INPUT -p tcp --dport 1723 -j ACCEPT
$ipt -A INPUT -p tcp --dport 47 -j ACCEPT
$ipt -A INPUT -p tcp --dport 20001 -j ACCEPT
#OUTPUT цепочка
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT
$ipt -A OUTPUT -p icmp -j ACCEPT # Разрешаем пинг
$ipt -A OUTPUT -p tcp --dport 53 -j ACCEPT #DNS
$ipt -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS

#FOTWARD
#Разрешаем прохождение пакетов, связанных с уже установленными соединениями:
$ipt -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A FORWARD -s 192.168.2.0/24 -j ACCEPT
$ipt -A FORWARD -d 192.168.2.0/24 -j ACCEPT
#маскеруем инет
$ipt -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE

Вот все что на данный момент у меня!!!


Причем в логах squid невижу чтоб на 5190 чтото шло (((

[ivsatel]

По дефолту у меня

Код: [Выделить]

##Правила по умолчанию
$ipt -P INPUT  DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP


Если явно не указывается имя цепочки то присваивается "фильтр"

А в iptables-save показывает ACCEPT

Так нада???

Не там нужно смотреть))) Или Вы хотели задать правила в другой цепочке?

И навсяк случай выложу весь

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT DROP [518:58214]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [24:2964]

Как видно правила по умолчанию сработали)) Но тут я думаю есть ошибка, например

Код: [Выделить]

:FORWARD DROP [0:0]И зачем разрешать выход если он по умолчанию разрешен? Или я ошибаюсь?

Код: [Выделить]

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Tue Sep 13 07:52:39 2011P.S. Я только учусь

[fisher74]

В клиенте icq точно используется порт 5190?
Когда клиента травите на прокси, в логах кальмара что-то есть на этот счёт?
Пользователь решил продолжить мысль 13 Сентября 2011, 12:21:24:

Как видно правила по умолчанию сработали)) Но тут я думаю есть ошибка, например

Код: [Выделить]

:FORWARD DROP [0:0]

Ошибки нет, просто никто из прошедших эту цепочку не дошёл до конца цепочки не попав под описанные правила

И зачем разрешать выход если он по умолчанию разрешен? Или я ошибаюсь?

Не ошибаетесь