HOWTO: Iptables для новичков

[Userboy]

 ОС Ubuntu 11.10 64-bit.
При любой попытке создать или редактировать правила в iptables в терминале появляется следующее сообщение:

iptables v1.4.10: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.

[aSmile]

Белым по черному написано же "Permission denied (you must be root)"

[Userboy]

Белым по черному написано же "Permission denied (you must be root)"

А что это значит? Я с Linuxом знакомится начал только месяц назад.

[ivsatel]

А что это значит?

you = ты must = должен be = быть root = ROOT

То есть команды должны начинаться с sudo (не все)
К примеру:

Код: [Выделить]

sudo iptables -L

[Userboy]

 Какие правила необходимы для простого домашнего пользования? Что бы отражал аттаки и не впускал что попадя.

[aSmile]

Разреши ESTABLISHED и RELATED для инпута и установи политику DROP.

P.S. Что за паранойя? Если никакие сервисы не слушают на внешнем интерфейсе, то стучись сколько влезет - толку не будет.

[Musasimaru]

Настраиваю iptables на то, чтобы заворачивались http порты на мой прокси, который висит на 192.168.0.1:3128
Содержание iptables.conf

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Thu May 19 14:17:09 2011
*mangle
:PREROUTING ACCEPT [208308:63825679]
:INPUT ACCEPT [182317:53139815]
:FORWARD ACCEPT [25987:10685552]
:OUTPUT ACCEPT [287299:329542980]
:POSTROUTING ACCEPT [313424:340250988]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Completed on Thu May 19 14:17:09 2011
# Generated by iptables-save v1.4.4 on Thu May 19 14:17:09 2011
*nat
:PREROUTING ACCEPT [2285:173616]
-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
:OUTPUT ACCEPT [1824:114875]
:POSTROUTING ACCEPT [35:4074]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu May 19 14:17:09 2011
# Generated by iptables-save v1.4.4 on Thu May 19 14:17:09 2011
*filter
:INPUT ACCEPT [182317:53139815]
:FORWARD ACCEPT [25987:10685552]
:OUTPUT ACCEPT [287300:329543031]
COMMIT
# Completed on Thu May 19 14:17:09 2011В 10.10 (на другом компе) все работало, в 11.04 почему-то нет.

P.S.: Если на клиентских тачках в браузере явно указывать прокси, то все работает

[fisher74]

Код: [Выделить]

grep http_port /etc/squid*/squid.conf | grep -v '^#'Предполагаю, что параметра transparent мы в выхлопе не увидим

[Musasimaru]

Предполагаю, что параметра transparent мы в выхлопе не увидим

У меня не squid, а 3proxy - он гарантированно поддерживает прозрачный режим

попробовал ещё так прописать:

Код: [Выделить]

-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128 результат аналогичный

[fisher74]

А как хоть не работает? Не попадает на прокси или отлуп?

[Musasimaru]

А как хоть не работает? Не попадает на прокси или отлуп?

Не попадает на прокси, т.е. маршрутизации вообще нет. DNS работает, адреса ресолвятся

[fisher74]

Код: [Выделить]

route -n[code] на клиенте

[Musasimaru]

Код: [Выделить]

route -n[code] на клиенте

клиенты на винде сидят, там все нормально

P.S.: При таком

(Нажмите, чтобы показать/скрыть)

-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

конфиге маршрутизация работает, т.е. проблема именно в переадресации на эти порты. Может есть ещё какой-нибудь способ завернуть трафик на прокси?

[fisher74]

Код: [Выделить]

sudo iptables -t nat -nvLможете показать? Кол-во пакетов изменяется в счётчике?

[Musasimaru]

Код: [Выделить]

sudo iptables -t nat -nvLможете показать? Кол-во пакетов изменяется в счётчике?

Первый раз запустил:

Код: [Выделить]

root@server:/home/administrator# sudo iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 5 packets, 345 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 3 packets, 164 bytes)
 pkts bytes target     prot opt in     out     source               destination     
Попробовал на клиентской машине сделать обращение к сайтам разным

Код: [Выделить]

root@server:/home/administrator# sudo iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 24 packets, 1549 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 10 packets, 627 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 23 packets, 1311 bytes)
 pkts bytes target     prot opt in     out     source               destination