HOWTO: Iptables для новичков

[ivsatel]

1. 9 из 10 правил в INPUT легко заменяются одним
-A INPUT -m state --state INVALID -j DROP
выставленным в самое начало.

Это я поторопился выложить. Исправил сразу. Т.к. замечание по этому поводу уже было.

2. Вы запустите у себя
iptables -vL
и полюбуйтесь на счётчики попаданий...
Сразу будет видно, какие правила только глаза мозолят, ничего реально не делая.

ОК ща посмотрю. Спасибо за подсказку!
А не может быть, что правило с нулевым попаданием на данный момент сработает позже?

3. Хотите открыть? Открывайте.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Не, это глобально. Откроет и на внешку. Я не ошибаюсь?
Вполне достаточно было бы из локального диапазона на интерфейс смотрящий в ЛАН. Это правильный ход мыслей?

[AnrDaemon]

А это уже допиливайте, как вам кажется удобным. У меня просто открыт 22-й порт, и авторизация по ключу.
При необходимости всегда могу зайти из дома и посмотреть, что вообще творится.

[ivsatel]

В идеале хочу вот так:
iptables -A INPUT -i eth0 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Это правильно?

Но есть правило отсева запросов на интернет:

iptables -A FORWARD -i eth0 -s 192.168.1.2 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

Глядя на таблицу подозреваю появится доступ к локальным ресурсам, даже если поставлю DROP:

iptables -A FORWARD -i eth0 -s 192.168.1.2 -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

Через правило:

iptables -A INPUT -i eth0 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Имею в виду, не будут ли пересекаться правила?

[AnrDaemon]

Ладно, давайте по очереди.

iptables -A INPUT -i eth0 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Самое первое - не стоит мешать в одну кучу NEW,ESTABLISHED,RELATED.
Второе - что вообще вы собираетесь этим правилом делать?

И... Правила, попавшие в цепочку FORWARD, не могут оказаться в цепочке INPUT без очень сильного колдунства...

[ivsatel]

Ладно, давайте по очереди.

iptables -A INPUT -i eth0 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Самое первое - не стоит мешать в одну кучу NEW,ESTABLISHED,RELATED.
Второе - что вообще вы собираетесь этим правилом делать?

iptables -A INPUT -i eth0 = Обращение к eth0 из LAN (eth0 смотрит в локалку)

--source 192.168.1.0/24 = Источник локальный диапазон адресов

--match state --state NEW,ESTABLISHED,RELATED -j ACCEPT = Разрешить прохождение пакетов с любым состоянием

И... Правила, попавшие в цепочку FORWARD, не могут оказаться в цепочке INPUT без очень сильного колдунства...

Понял.

[AnrDaemon]

А вот теперь смотрите сюда. (eth0 - локалка, eth1 - инет)

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Запрещаем левые пакеты
-A INPUT -m conntrack --ctstate INVALID -j DROP
# Разрешаем то что уже и так разрешено
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем любой локальный трафик
-A INPUT -i lo -j ACCEPT
# Разрешаем служебрый трафик
-A INPUT -p icmp -j ACCEPT
# Разрешаем трафик из локальной сети
-A INPUT -s 192.168.17.0/24 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
# Разрешаем discard и SSH.
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
# Запрещаем левые пакеты
-A FORWARD -m conntrack --ctstate INVALID -j DROP
# Разрешаем то что уже и так разрешено
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
# Разрешаем выход в интернет из локальной сети
-A FORWARD -s 192.168.17.0/255.255.255.0 -i ! eth1 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
# Разрешаем обращение из локальной сети к PPTP клиентам
-A FORWARD -s 192.168.17.0/255.255.255.0 -o ! eth1 -m conntrack --ctstate NEW -j ACCEPT
COMMIT

[getikalex]

Есть простой мануал по открытию порта в убунте
http://myubuntu.ru/rukovodstvo/otkryvaem-port-dlya-bittorrent-klienta
Вроде просто копипастил, а мне дает ошибку в синтаксисе
И вот что имею на убунте 11.04:

alex@alexserver:~$ sudo iptables -A INPUT -p tcp –dport 6881 - j ACCEPT
Bad argument `–dport'
Try `iptables -h' or 'iptables --help' for more information.
alex@alexserver:~$

Если даже это не получается, может уже заодно подскажете ответ на классическую задачу:
Имеется сервер на убунте 11.04.
eth0 поднимает ppp0 с динамическим IP
eth1 смотрит в локалку с IP 192.168.69.1
Как пробросить порт не одной машине в локалке, а всем. Грубо говоря, чтоб ко всем машинам в локалке 192.168.69.2-254 был открытый порт для торрента (6881)

[AnrDaemon]

Вот не надо копипастить.
--dport а не –dport

[fisher74]

Как пробросить порт не одной машине в локалке, а всем. Грубо говоря, чтоб ко всем машинам в локалке 192.168.69.2-254 был открытый порт для торрента (6881)

"Нет, сынок. Это фантастика" ©
Для решения этой и подобных задач придумали uPnP

[getikalex]

Посоветуйте uPnP попроще. А-то на запрос гугла об uPnP кругом описывается только uPnP media серверы типа mediatomb ushare, а это совсем из другой оперы.
Нашел упоминание о linux-igd, но как-то уж очень нелестно о нем вспоминают, да и последняя версия лежит только трехлетней давности, что настораживает.
Какая лучшая альтернатива для решения моей задачи ?

[fisher74]

Пользую linux-igd

[getikalex]

uPnP я хоть и поднял, но по-уму работать он не хочет.
Попробую вернуться к iptables.
Как я понял пробросит порт на все машины не смогу. Но я так и не догнал как прокинуть даже на одну. Надо прокинуть порт 6881 с интерфейса ppp0 (интернет на eth0) во внутреннюю локалку (eth1 - 192.168.69.1)именно к машине 192.168.69.191
Гугл  дает пример:
http://alexmuz.ru/ubuntu-iptables/
В моем случае д.б. (как я понимаю)примерно так:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -p tcp -d ВНЕШНИЙ_IP --dport 6881 -j DNAT --to-destination 192.168.69.191:6881
sudo iptables -t nat -A POSTROUTING -p tcp --dst 192.168.69.191 --dport 6881 -j SNAT --to-source ВНЕШНИЙ_IP
Но ВНЕШНИЙ_IP - динамический, а подставить вместо него интерфейс ppp0 или eth0 - не получается, пишет об ошибке. Как правильно ?
И еще вопрос: после внесения этих изменений - порт пробросится сразу, или надо перезапустить сеть ? (restart network)

[fisher74]

Первая строка правильная (почти), вторая скорее всего дублирует уже существующий маскарад на интерфейсе ppp0
"Почти", потому что нужно ещё определиться какой протоко используется tcp или udp.

И еще вопрос: после внесения этих изменений - порт пробросится сразу, или надо перезапустить сеть ? (restart network)

Правила вступают в работу сразу. Потому будьте осторожны с запрещающими правилами цепочек INPUT/OUTPUT, если не сидите непосредственно за терминалом мучаемого компа.

uPnP я хоть и поднял, но по-уму работать он не хочет.

Как Вы это определили? У меня пока нареканий к нему не было. Может Вы ему "дышло" перекрыли и он никого не слышит?

[ivsatel]

# Разрешаем служебрый трафик
-A INPUT -p icmp -j ACCEPT

Во всех строках, все понятно. Единственно я не пойму для чего разрешать не мной порожденный трафик по icmp? Или тут как с FTP? (имею ввиду комплексность протокола) Все равно как-то не вяжется.

[AnrDaemon]

Что вам не понятно в написанном мною комментарии?
ICMP - это служебный протокол. Правильно настроенный маршрутизатор обязан на него реагировать установленным образом, а не резать без зазрения совести.