HOWTO: Iptables для новичков

[ivsatel]

AnrDaemon На самом деле интересна только цепочка forward. При выставленной политики DROP крайне мало попадает в контейнер.

[ivsatel]

На шлюзе squid. При выставлении *filter INPUT в DROP. Нет соединения на локальных машинах. Без сквида работало ...
Вот так работает.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sat Sep 17 00:16:35 2011
*filter
:INPUT ACCEPT [4:235]
:FORWARD DROP [24:16198]
:OUTPUT ACCEPT [4:347]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j LOG --log-prefix "iptInvalidI: "
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "iptNeNew: "
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "iptTime: "
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -f -j LOG --log-prefix "iptICMPI: "
-A INPUT -p icmp -f -j DROP
-A INPUT -p icmp -m limit --limit 250/sec --limit-burst 500 -j LOG --log-prefix "iptFludLimI: "
-A INPUT -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptSkanPortI: "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "iptIzVne: "
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -i ppp+ -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "iptNewIzVne: "
-A INPUT -i ppp+ -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimFrTCP0: "
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j LOG --log-prefix "iptInvalid: "
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p icmp -f -j LOG --log-prefix "iptICMP: "
-A FORWARD -p icmp -f -j DROP
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j LOG --log-prefix "iptFludLim: "
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A FORWARD -p icmp -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptSkanPort: "
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE
-A FORWARD -i ppp0 -o ppp0 -j DROP
-A FORWARD -i ppp1 -o ppp1 -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID -j LOG --log-prefix "iptIzVneF: "
-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID -j REJECT --reject-with tcp-reset
-A FORWARD -i ppp+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Sat Sep 17 00:16:35 2011
# Generated by iptables-save v1.4.4 on Sat Sep 17 00:16:35 2011
*nat
:PREROUTING ACCEPT [4:235]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sat Sep 17 00:16:35 2011
# Generated by iptables-save v1.4.4 on Sat Sep 17 00:16:35 2011
*mangle
:PREROUTING ACCEPT [37:26460]
:INPUT ACCEPT [5:275]
:FORWARD ACCEPT [32:26185]
:OUTPUT ACCEPT [4:347]
:POSTROUTING ACCEPT [11:8934]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Sep 17 00:16:35 2011

[fisher74]

На шлюзе squid. При выставлении *filter INPUT в DROP. Нет соединения на локальных машинах. Без сквида работало ...

А каким образом тогда клиенты попадут на прокси если их транзитные пакеты Вы заворачиваете на локальный сервис и тут же дропите без разбору?

[ivsatel]

А каким образом тогда клиенты попадут на прокси если их транзитные пакеты Вы заворачиваете на локальный сервис и тут же дропите без разбору?

Это я понимаю.
Не могу понять, что нужно разрешить для сквида( Вернее как правильно это разрешить ему

[fisher74]

Код: [Выделить]

sudo iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT

[kobs]

ситуация такая есть реальная машина UBUNTU ip 192.168.3.181
и два ее сервера : 192.168.3.254 и 192.168.5.254
на ней стоит вируальная машина в virtualbox
виртуальная машина пингует адрес реальной
ping 192.168.3.181
и так же с помощью маршрута пингует адрес сервера
ping 192.168.3

как сделать чтобы с виртуальной машины пинговался ip из другого контура в частности(192.168.5.254)
обычный route не прокатывает

[fisher74]

У Вас проблемы как с изложением ситуации, так и с русским языком. Извините. Я 80% не понял: что, куда и с чем.

[Prodi]

не могу удалить правило
сервер отвечает iptables: Index of deletion too big. 

Код: [Выделить]

root@mts:~# iptables -L FORWARD --line-numbers
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  8.8.x.x             anywhere            state RELATED,ESTABLISHED
2    ACCEPT     tcp  --  192.168.55.0/24      anywhere            multiport dports openvpn,443,433
...
...
...
50   ACCEPT     udp  --  mail0.mrs.kr   192.168.55.0/24     udp spt:3288
51   LOG        all  --  anywhere             anywhere            LOG level info prefix `FORWARD DROP: '
root@mts:~# iptables -D INPUT 51
iptables: Index of deletion too big.

[AnrDaemon]

Смотришь в цепочку FORWARD, а удаляешь из цепочки INPUT.
Издеваешься?

[Prodi]

Смотришь в цепочку FORWARD, а удаляешь из цепочки INPUT.
Издеваешься?

Спасиб ...
но как теперь с новым правилом перезапустить iptables ?

Код: [Выделить]

root@mts:~# service iptables restart
iptables: unrecognized service

[aSmile]

Как только удалил, сразу работает.

[AnrDaemon]

но как теперь с новым правилом перезапустить iptables ?

Вопрос из разряда "как потушить погасшее солнце". iptables напрямую вносит изменения в концигурацию нетфильтра.

[Prodi]

но как теперь с новым правилом перезапустить iptables ?

Вопрос из разряда "как потушить погасшее солнце". iptables напрямую вносит изменения в концигурацию нетфильтра.

Ну хватит стебаться -Думал что правила робят по принципу "осминога" 

[AnrDaemon]

Они и "робят"...
http://www.docum.org/docum.org/kptd/

[vad123123123]

Доброго дня. Пытаюсь использовать ipset в fwbuilder (10.04), надо дропать много кулхацкерских ип.
Поставил xtables-addons (1.21.1) с помощью module-assistant.
На
sudo ipset -N addrtable setlist
получаю
ipset v4.1: Unknown set type

и соответственно нет листа, и правила типа
-A INPUT -m set  --match-set addrtable src  -j In_RULE_8
видимо не работают...
Чем его не устраивает тип setlist, который описан в документации и примерах?
Мб что-то надо еще подкрутить?