HOWTO: Iptables для новичков

[Avolon]

В клиенте icq точно используется порт 5190?
Когда клиента травите на прокси, в логах кальмара что-то есть на этот счёт?

В том то и дело еси вручную прописать прокси то работает и в прокси логах вижу

Код: [Выделить]

1315900026.317    663 192.168.2.203 TCP_MISS/200 465 CONNECT login.icq.com:5190 - DIRECT/64.12.202.112 -

Если через iptables заварачиваю то  в логах вообще нечего (((

И зачем разрешать выход если он по умолчанию разрешен? Или я ошибаюсь?
Не ошибаетесь

Ага все понял поправлю!!

[fisher74]

Погуглил...
Сделайте так (хотя это уже и офф.топ)

acl ICQ_PORT port 5190 443
 
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT port 5190 443

acl ICQ_PROTO proto HTTPS
acl ICQ_DOMAIN dstdomain icq.com aol.com

always_direct   allow   ICQ_DOMAIN ICQ_PORT CONNECT
always_direct   allow   ICQ_ADDR   ICQ_PORT CONNECT

http_access allow USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT
 

Смысл в том, что кальмар просто так CONNECT не даёт.

[aSmile]

Подскажите, а то я что-то упускаю видимо... Надо входящие по 7777 порту на eth1 перебросить на 10.0.16.50:8080

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:30:48:de:b6:4e
          inet addr:10.50.5.40  Bcast:10.50.255.255  Mask:255.255.255.0
          inet6 addr: fe80::230:48ff:fede:b64e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5734867 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6687060 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1409799444 (1.3 GiB)  TX bytes:5851239596 (5.4 GiB)
          Memory:fbce0000-fbd00000

eth1      Link encap:Ethernet  HWaddr 00:30:48:de:b6:4f
          inet addr:10.50.143.40  Bcast:10.50.255.255  Mask:255.255.0.0
          inet6 addr: fe80::230:48ff:fede:b64f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2774006 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3046411 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:572128999 (545.6 MiB)  TX bytes:3872449557 (3.6 GiB)
          Memory:fbde0000-fbe00000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:31300766 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31300766 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15262652550 (14.2 GiB)  TX bytes:15262652550 (14.2 GiB)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Tue Sep 13 13:15:19 2011
*nat
:PREROUTING ACCEPT [30:4314]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2:480]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 7777 -j LOG --log-prefix "PREROUTING: "
-A PREROUTING -i eth1 -p tcp -m tcp --dport 7777 -j DNAT --to-destination 10.0.16.50:8080
-A POSTROUTING -o eth0 -j SNAT --to-source 10.50.5.40
-A POSTROUTING -o eth1 -j SNAT --to-source 10.50.143.40
COMMIT
# Completed on Tue Sep 13 13:15:19 2011
# Generated by iptables-save v1.4.12 on Tue Sep 13 13:15:19 2011
*filter
:INPUT ACCEPT [510:43277]
:FORWARD DROP [1:60]
:OUTPUT ACCEPT [356:48169]
-A FORWARD -i eht1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eht0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.0.16.50/32 -i eht0 -p tcp -m tcp --sport 8080 -j ACCEPT
-A FORWARD -d 10.0.16.50/32 -i eht1 -p tcp -m tcp --dport 8080 -j LOG --log-prefix "FORWARD: "
-A FORWARD -d 10.0.16.50/32 -i eht1 -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
# Completed on Tue Sep 13 13:15:19 2011

В логе вижу PREROUTING, а FORWARD - нету.
Пользователь решил продолжить мысль 13 Сентября 2011, 13:18:46:Вдруг понадобится

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.50.132.32    10.50.5.1       255.255.255.224 UG    0      0        0 eth0
10.50.133.0     10.50.143.1     255.255.255.128 UG    0      0        0 eth1
10.50.133.128   10.50.5.1       255.255.255.128 UG    0      0        0 eth0
localnet        10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.13.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.14.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.15.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.5.0       *               255.255.255.0   U     0      0        0 eth0
10.50.16.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.17.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.18.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.19.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.41.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.40.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.43.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.42.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.45.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.44.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.47.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.46.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.33.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.32.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.35.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.34.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.37.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.36.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.39.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.38.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.57.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.56.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.59.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.58.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.61.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.60.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.63.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.62.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.49.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.48.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.51.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.50.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.53.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.52.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.55.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.54.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.74.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.75.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.72.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.73.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.78.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.79.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.76.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.77.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.66.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.67.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.64.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.65.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.70.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.71.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.68.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.69.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.90.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.91.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.88.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.89.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.94.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.95.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.92.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.93.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.82.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.83.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.80.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.81.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.86.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.87.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.84.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.85.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.107.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.106.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.105.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.104.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.111.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.110.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.109.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.108.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.99.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.98.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.97.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.96.0      10.50.5.1       255.255.255.0   UG    0      0        0 eth0
10.50.103.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.102.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.101.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.123.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.122.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.121.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.120.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.127.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.126.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.125.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.124.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.115.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.113.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.112.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.119.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.118.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.117.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.116.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.140.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.141.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.142.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.136.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.137.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.138.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.139.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.134.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.135.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.128.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.129.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.130.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.131.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.156.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.157.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.158.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.159.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.152.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.153.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.154.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.155.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.148.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.149.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.151.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.145.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.147.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.161.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.160.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
10.50.163.0     10.50.143.1     255.255.255.0   UG    0      0        0 eth1
192.168.43.0    debiantoserver. 255.255.255.0   UG    0      0        0 eth1
10.50.0.0       *               255.255.0.0     U     0      0        0 eth1
default         10.50.5.1       0.0.0.0         UG    0      0        0 eth0

[Avolon]

Корочь нестал заморачиватся и пустил так

Код: [Выделить]

$ipt -t nat -A POSTROUTING -s 192.168.2.0/24 -m multiport -p tcp --dports 5190 -j MASQUERADE



[fisher74]

aSmile, у Вас сеть не правильно спланирована.
10.50.5.0/24(eth0) входит в сеть 10.50.0.0/16(eth1)
И я бы так поправил

-A PREROUTING -i eth1 -d 10.50.143.40 -p tcp -m tcp --dport 7777 ...

P.S. Таблица маршрутизации убила....

[aSmile]

aSmile, у Вас сеть не правильно спланирована.
10.50.5.0/24(eth0) входит в сеть 10.50.0.0/16(eth1)
И я бы так поправил

-A PREROUTING -i eth1 -d 10.50.143.40 -p tcp -m tcp --dport 7777 ...

P.S. Таблица маршрутизации убила....

Да, таблица меня тоже удивила.
Добавил -d, но все так же.
А по поводу настроек интерфейса буду разбираться, но это вроде сейчас не должно влиять.

[fisher74]

Не знаю... по технологии проброса всё соблюдено, но вот смогут ли ответные пакеты вырваться из x.y.0.0/16 во вложенную x.y.z.0/24?....

[aSmile]

Не знаю... по технологии проброса всё соблюдено, но вот смогут ли ответные пакеты вырваться из x.y.0.0/16 во вложенную x.y.z.0/24?....

ответные пакеты идут не из x.y.0.0/16, а с дефолтного гейтвея (в данном случае 10.50.5.1), т.к. 10.0.16.50 лежит за 10.50.xxx.yyy/16
Пользователь решил продолжить мысль 13 Сентября 2011, 14:14:53:т.е. схемка

например 10.50.138.12 -> 10.50.143.40 -> 10.50.5.1 -> каким-то образом -> 10.0.16.50
Пользователь решил продолжить мысль 13 Сентября 2011, 14:16:03:да, на всякий случай

(Нажмите, чтобы показать/скрыть)

1

[fisher74]

А да...возвращаться будут на через узкую подсеть. Хотя destination у них по любому должен быть 10.50.5.40. Значит до шлюза должно дойти.
А 10.0.16.50 знает маршрут до 10.50.5.40?

[aSmile]

telnet'ом на 8080 порту получаю http нормально.
Пользователь решил продолжить мысль 13 Сентября 2011, 15:35:06:До кучи

Код: [Выделить]

~# tcpdump host 10.0.16.50 -v -A
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel


[fisher74]

sudo grep "PREROUTING" /var/log/syslog
?

[aSmile]

sudo grep "PREROUTING" /var/log/syslog
?

Есть там прераутинг. Нашел только что ошибку, хотел головой об стену убицца.
В форварде опечатался, написал eht1 и копипастом размножил.

[fisher74]

Эммм... Здесь в листингах она тоже есть? Ткните
Да, увидел... Досадная опечатка.

[ivsatel]

Возможно ли отразить в логах то что попадает под дефолтные настройки? А именно это:

Код: [Выделить]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

[AnrDaemon]

Отразоть-то можно
-j LOG
Но...
А ты не ошалеешь? А у тебя хард не лопнет? Особенно от последнего.