HOWTO: Iptables для новичков

[fisher74]

так у Вас правил-то перенаправления и нетути.
Смотрите, у Вас похоже /etc/iptables.conf не подхватывается
Для проверки

Код: [Выделить]

sudo iptables-restore < /etc/iptables.conf

[Musasimaru]

так у Вас правил-то перенаправления и нетути.
Смотрите, у Вас похоже /etc/iptables.conf не подхватывается
Для проверки

Код: [Выделить]

sudo iptables-restore < /etc/iptables.conf

Оказывается, как-то первый же COMMIT удалил из конфига, когда редактировал его после установки прокси))) Спасибо большое!))) А то я тут сквид уже скачал, начал его разбирать)))))

[fisher74]

Кальмара даже собирать не надо, он репах. А уж тем более разбирать
Но это уже оффтоп.

А по теме... Потому и просим давать вывод команды iptables-save, а не скрипты, заполняющие правила.

[MonoLife]

Ребят, поругайте, плз, правила (ubuntu-server 10.03)

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*mangle
:PREROUTING ACCEPT [232124:93759232]
:INPUT ACCEPT [226067:92726839]
:FORWARD ACCEPT [6056:1031459]
:OUTPUT ACCEPT [123996:62587074]
:POSTROUTING ACCEPT [130052:63618533]
COMMIT
*nat
:PREROUTING ACCEPT [148337:43284664]
:POSTROUTING ACCEPT [9586:585240]
:OUTPUT ACCEPT [9586:585240]
[138:6624] -A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
[3:144] -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
COMMIT
*filter
:INPUT DROP [4132:1202959]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
[5500:3235127] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i xxx.xxx.xxx.xxx -m state --state INVALID,NEW -j DROP
[0:0] -A INPUT -p icmp -j DROP
[138:6624] -A INPUT -i eth1 -p tcp -m multiport --dports 80,3128,22 -j ACCEPT
[263:69584] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[3:144] -A FORWARD -i eth1 -o eth0 -j ACCEPT
[0:0] -A FORWARD -i xxx.xxx.xxx.xxx -m state --state INVALID,NEW -j DROP
[0:0] -A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
[6813:3520583] -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
COMMIT

В правиле -A INPUT -i eth1 -p tcp -m multiport --dports 80,3128,22 -j ACCEPT добавлен порт 3128, так и должно быть, а то без него инет в локалке не работал??
Также, не приходят письма с mail.ru, если отправлять их из почтового клиента (Thunderbird) pop.mail.ru порт - 995 порт, smtp - 465.
А с веб-интерфейса - приходят сразу же! Как правильно настроить правила для почтового клиента?
Заранее благодарю!

[AnrDaemon]

1. iptables-save пожалуйста без счётчиков.
2. Сеть свою хоть немного опишите, а то гадать по правилам об организации сети можно до бесконечности.
3. OUTPUT DROP почти всегда является ошибкой.

[MonoLife]

Пожалуйста, iptables-save:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i xxx.xxx.xxx.xxx -m state --state INVALID,NEW -j DROP
-A INPUT -p icmp -j DROP
-A INPUT -i eth1 -p tcp -m multiport --dports 80,3128,22 -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i xxx.xxx.xxx.xxx -m state --state INVALID,NEW -j DROP
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT

Eth0 - статичный IP, интернет
Eth1 - локальная сеть
192.168.0.1 - шлюз

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:40:f4:6f:4a:cb
          inet addr:xxx.xxx.xxx.xxx  Bcast:xxx.xxx.xxx.xxx  Mask:255.255.255.252
          inet6 addr: fe80::240:f4ff:fe6f:4acb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2156882 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2495514 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:392600240 (392.6 MB)  TX bytes:1011696577 (1.0 GB)
          Interrupt:19 Base address:0xd800

eth1      Link encap:Ethernet  HWaddr 00:15:f2:17:0e:58
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::215:f2ff:fe17:e58/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2776722 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1540614 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1096417926 (1.0 GB)  TX bytes:352688043 (352.6 MB)
          Interrupt:23 Base address:0xa000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:6075 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6075 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:304372 (304.3 KB)  TX bytes:304372 (304.3 KB)

OUTPUT DROP исправил на OUTPUT ACCEPT
На клиентах IP прописаны вручную, прокси не прописан (прозрачный). На squid, вроде, трафик идет.

[AnrDaemon]

-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
Зачем тут -s 192.168.0.0/24 ?

-A INPUT -i xxx.xxx.xxx.xxx -m state --state INVALID,NEW -j DROP
Это я вообще не понял.
Либо уже выносите INVALID в начало, либо объясняйте, чего вы пытались сделать.


-A INPUT -p icmp -j DROP
Никогда так не делайте. ICMP - это такая же составная часть IP стека, как любой другой протокол, возможно, даже более важная, чем другие, ибо это служебный протокол.

-A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
Не проще сделать -i eth1 -j ACCEPT ?

Для FORWARD в принципе те же претензии.
Цепочку OUTPUT можно очистить.

[MonoLife]

Спасибо, за отзыв!

Зачем тут -s 192.168.0.0/24 ?

Так правильно?

Код: [Выделить]

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx

INVALID ...чего вы пытались сделать.

Поправьте меня, я так думаю, отбрасывать ошибочные (не идентифицированные) пакеты и новые соединения из вне. Переместить в начало, это в смысле выше, до -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT??

Никогда так не делайте. ICMP - это такая же составная часть

м..м.. думал запретить пинг... не правильно?

Не проще сделать -i eth1 -j ACCEPT

поясните, плз!.

Вы знаете, я смотрел множество примеров в сети и некоторые из моих строк "слизаны" оттуда. Каюсь, не совсем еще врубаюсь.. Поэтому и прошу помощи здесь.
И вопрос про

В правиле -A INPUT -i eth1 -p tcp -m multiport --dports 80,3128,22 -j ACCEPT добавлен порт 3128, так и должно быть, а то без него инет в локалке не работал??

в силе.
Еще раз, благодарю за понимание и терпение:)
Хочется максимально компактный и работающий набор правил, типа "от меня можно всё, из вне ничего нельзя"

[AnrDaemon]

Не врубаетесь - возьмите в руки карту.
http://www.docum.org/docum.org/kptd/
Представьте себя пакетом и побегайте по ней.
Не забывайте, что разрешающие правила являются терминальными - пакет покидает цепочку, натолкнувшись на такое правило.
Плохо, что вы "не врубаетесь". Не понимая, что вы делаете, нельзя построить нормальной защиты.
Всё-таки постарайтесь ответить на мои вопросы, не пытаясь угадать, как бы я писал правила. Всё равно ошибётесь.

[MonoLife]

Представьте себя пакетом и побегайте по ней

спасибо, побежал.. а пока бегу вот что:

Всё-таки постарайтесь ответить на мои вопросы,

а разве я не ответил?

не пытаясь угадать, как бы я писал правила

даже не думал, хочется понять... Материал по изучению у меня есть. Без примеров, реально отображающих мои нужды, трудновато, а с такими примерами как у меня (взятыми из сети) еще и вредно. Ведь я здесь спрашиваю, когда мозг уже кипит и в глазах песок.

Зачем тут -s 192.168.0.0/24 ?

Пакеты из локальной сети маскируются и на выходе только IP адрес xxx.xxx.xxx.xxx

Не забывайте, что разрешающие правила являются терминальными

также как и запрещающие (DROP, REJECT)?

[AnrDaemon]

Всё-таки постарайтесь ответить на мои вопросы,

а разве я не ответил?

Нет, вы попытались угадать "как правильно".

не пытаясь угадать, как бы я писал правила

даже не думал, хочется понять... Материал по изучению у меня есть. Без примеров, реально отображающих мои нужды, трудновато, а с такими примерами как у меня (взятыми из сети) еще и вредно. Ведь я здесь спрашиваю, когда мозг уже кипит и в глазах песок.

Тогда приводите примеры, реально отражающие нужды. На русском
Распечатайте схему прохождения пакетов на A3, подпишите правила в нужных местах и смотрите, как они работают.
Или закопайтесь в этот топик поглубже, "мы это уже разбирали".

Зачем тут -s 192.168.0.0/24 ?

Пакеты из локальной сети маскируются и на выходе только IP адрес xxx.xxx.xxx.xxx

А пакеты, создаваемые самим сервером? Они не обязательно будут иметь адрес 192.168.0.0/24
Правда в том, что ВСЕ пакеты, уходящие с интерфейса eth0, (в вашем случае) должны иметь адрес xxx.xxx.xxx.xxx
-s <network> тут лишнее, только замедляет обработку пакетов. (Ничтожная величина, но по капельке - по капельке, а нагрузка на процессор растёт.)

Не забывайте, что разрешающие правила являются терминальными

также как и запрещающие (DROP, REJECT)?

Да. Некоторые модели добавляют терминальных правил. Но эти три - основные.

[MonoLife]

Что ж, спасибо, AnrDaemon...Пойду насиловать свой мозг дальше:)
С удовольствием купил бы у вас блюдечки, будь у меня 50$

[AnrDaemon]

Зачем далеко отходить? Пишите тут.
Ну или загляните в соседний топик https://forum.ubuntu.ru/index.php?topic=175419.0
Я там приводил правила с двух рабочих серверов.
Постарайтесь понять, что там делается, прежде чем переносить на свою систему.
К вашему случаю ближе "Server B".

[ivsatel]

Подскажите как правильно "довести до ума" политику по умолчанию INPUT DROP. Сейчас её поставил в ACCEPT но остальное как было при DROP.
Так-как после выставления её в DROP невозможно соединиться с сервером (ни по ssh, на локальный http тоже не зайти)
Я так понимаю что нет разрешающего правила на NEW из локалки к серверу, а вот как правильно его прописать не пойму.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sat Nov 26 19:23:31 2011
*mangle
:PREROUTING ACCEPT [822034:732139541]
:INPUT ACCEPT [23268:1811793]
:FORWARD ACCEPT [798703:730322872]
:OUTPUT ACCEPT [23218:1742246]
:POSTROUTING ACCEPT [820567:732000060]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 192.168.1.2/32 -j MARK --set-xmark 0x64/0xffffffff
-A OUTPUT -d 192.168.1.0/24 -j MARK --set-xmark 0x63/0xffffffff
-A POSTROUTING -o ppp+ -j TTL --ttl-set 64
COMMIT
# Completed on Sat Nov 26 19:23:31 2011
# Generated by iptables-save v1.4.4 on Sat Nov 26 19:23:31 2011
*nat
:PREROUTING ACCEPT [27315:1728748]
:POSTROUTING ACCEPT [2278:140649]
:OUTPUT ACCEPT [1345:103329]
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sat Nov 26 19:23:31 2011
# Generated by iptables-save v1.4.4 on Sat Nov 26 19:23:31 2011
*filter
:INPUT ACCEPT [20139:1385699]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [23190:1739020]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "iptNeNew: "
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "iptTime: "
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -m state --state INVALID -j LOG --log-prefix "iptInvalidI: "
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptSkanPortI: "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "iptIzVne: "
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -i ppp+ -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "iptNewIzVne: "
-A INPUT -i ppp+ -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimFrTCP0: "
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j LOG --log-prefix "iptInvalid: "
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptSkanPort: "
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE
-A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimFrTCP1: "
-A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A FORWARD -s 192.168.1.2/32 -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -j LOG --log-prefix "iptDROP: "
-A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
-A FORWARD -i ppp0 -o ppp0 -j DROP
-A FORWARD -i ppp1 -o ppp1 -j DROP
-A FORWARD -i eth2 -o eth2 -j DROP
-A FORWARD -i eth1 -o eth1 -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID -j LOG --log-prefix "iptIzVneF: "
-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID -j REJECT --reject-with tcp-reset
-A FORWARD -i ppp+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Sat Nov 26 19:23:31 2011

Может вообще не правильный подход? Подскажите пожалуйста.

[AnrDaemon]

1. 9 из 10 правил в INPUT легко заменяются одним
-A INPUT -m state --state INVALID -j DROP
выставленным в самое начало.

2. Вы запустите у себя
iptables -vL
и полюбуйтесь на счётчики попаданий...
Сразу будет видно, какие правила только глаза мозолят, ничего реально не делая.

3. Хотите открыть? Открывайте.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT