HOWTO: Iptables для новичков

[fisher74]

Я лично, на внешние интерфейсах не разрешаю icmp. Кому надо и другими способами определят состояние хоста.

[volodya]

Здравствуйте!
Есть сервер с установленной Ubuntu 11.10.
Интернет приходит на eth0 - с динамическим IP
Домашняя сеть eth1
addr:192.168.0.1
Mask:255.255.255.0
Bcast:192.168.0.255
 
Цель - раздача интернена на машины ОС Win 7

Реализую таким образом:

nano /etc/network/interfaces
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

/etc/init.d/networking restart

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE

sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

nano /etc/sysctl.conf

net.ipv4.conf.default.forwarding=1
net.ipv4.conf.all.forwarding=1

После этого интернет раздается на машины, но с этих машин можно зайти только на некоторые сайты - отсальные просто не загружаются.

Подскажите, пожалуйста, в чем проблема!


Псоле этого

[fisher74]

В этом правиле

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

Обратите внимание на интерфейсы

И зачем Вы всё маскарадите?

iptables -A POSTROUTING -t nat -j MASQUERADE

P.S. Смотрите прикреплённую тему - там разжёванои в рот положено

[getikalex]

Как все-таки правильно прописать вместо внешнего динамического IP его интерфейс ?
Если прописать ppp0 - ругается

Код: [Выделить]

alex@alexserver:~$ sudo iptables -t nat -A PREROUTING -p tcp -d ppp0 --dport 6881 -j DNAT --to-destination 192.168.69.191:6881
iptables v1.4.10: host/network `ppp0' not found
Try `iptables -h' or 'iptables --help' for more information.
alex@alexserver:~$ sudo iptables -t nat -A POSTROUTING -p tcp --dst 192.168.69.191 --dport 6881 -j SNAT --to-source ppp0
iptables v1.4.10: Bad IP address "ppp0"
Try `iptables -h' or 'iptables --help' for more information.
хотя ppp0 поднят

Код: [Выделить]

alex@alexserver:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:30:4f:7f:e0:a2
          inet addr:10.82.55.89  Bcast:10.82.55.255  Mask:255.255.255.0
          inet6 addr: fe80::230:4fff:fe7f:e0a2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1258794 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2558766 errors:0 dropped:0 overruns:8 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:135341138 (135.3 MB)  TX bytes:3700301226 (3.7 GB)
          Interrupt:19 Base address:0x9000

eth1      Link encap:Ethernet  HWaddr 00:14:85:2c:93:96
          inet addr:192.168.69.1  Bcast:192.168.69.255  Mask:255.255.255.0
          inet6 addr: fe80::214:85ff:fe2c:9396/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:100222 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1151154 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17800557 (17.8 MB)  TX bytes:1623432066 (1.6 GB)
          Interrupt:23 Base address:0xc000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2128 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2128 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:412219 (412.2 KB)  TX bytes:412219 (412.2 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)
          inet addr:46.118.5.14  P-t-P:94.27.122.129  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:1251510 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2553418 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:67290766 (67.2 MB)  TX bytes:3567120164 (3.5 GB)


[AnrDaemon]

Нет такого адреса - ppp0
Читайте мануалы, или внимательнее читайте статьи, с которых срисовываете инструкции.

[volodya]

fisher74 укажите, пожалуйста, где именно мне посмотреть иформацию по данному вопросу, если не трудно.

[fisher74]

Может всё-таки хоть чуть-чуть почитаете Iptables Tutorial? Чтобы хотя бы сладкое с красным не перемешивать.
Как вариант статью в Wiki (у меня в своё время на ней озарение проступило)

[AnrDaemon]

fisher74 укажите, пожалуйста, где именно мне посмотреть иформацию по данному вопросу, если не трудно.

Он же ясно сказал - прикреплённая тема

[fisher74]

Согласен, что вышуказаная хавтушка по организации ICS проще будет для Вас

[getikalex]

Нет такого адреса - ppp0
Читайте мануалы, или внимательнее читайте статьи, с которых срисовываете инструкции.

Хорошо, подскажите как выйти из ситуации и прописать динамический IP в правилах iptables. А про то, что можно подменить IP интерфейсом - написано в комментах к статье. В самой статье динамический IP не рассматривался.

[fisher74]

В хавтушке есть ВСЕ ответы.ВСЕ!!!!! Там рассмотрен ВАШ случай.

[getikalex]

Так проглотило

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 6881 -j DNAT --to-destination 192.168.69.191:6881
sudo iptables -A FORWARD -d 192.168.69.191 -p tcp --dport 6881 -j ACCEPTНо порт все-равно закрыт... Что не так ?

[fisher74]

А-а-а, сорри. Я Вас спутал с volodya. Извините, думал он никак не найдёт.

Тогда предлагаю Вам всё-таки изучить параметры -d(estination) и --to-source. Ссылочку на удачное, с моей точки зрения, описание я уже осветил, чуть выше. Ваш пункт для непосредственного изучения вот этот
Пользователь решил продолжить мысль 28 Ноября 2011, 22:31:14:

Но порт все-равно закрыт... Что не так ?

А на 192.168.69.191 этот порт открыт?

Код: [Выделить]

sudo nmap -P0 -p 6881 192.168.69.191

[getikalex]

Так ведь 192.168.69.191 - это WinXP машина, там ничего не закрывал. Брандмауэр отключен, файрвола нет вообще.

alex@alexserver:~$ sudo nmap -P0 -p 6881 192.168.69.191
Starting Nmap 5.21 ( http://nmap.org ) at 2011-11-28 20:41 EET
Nmap scan report for 192.168.69.191
Host is up (0.00016s latency).
PORT     STATE  SERVICE
6881/tcp closed bittorrent-tracker
MAC Address: 00:00:F0:75:88:A3 (Samsung Electronics CO.)

Nmap done: 1 IP address (1 host up) scanned in 0.25 seconds

А сам порт проверяю именно с этой машины по сервису http://2ip.ru/check-port/

[fisher74]

Эмммммм.... Вообще-то изначально порт должно слушать какое-либо приложение. а уж потом к это приложению пробрасывают траффик от шлюза к этому самому приложению..