HOWTO: Iptables для новичков

[getikalex]

Дааааа....
Слона то я и не приметил. WEB сервис будет показывать только если кто-то порт слушает.
Запустил торрент, прописал порт 6881, и сервис сразу показал, что порт открыт.
Большое спасибою Век живи - век учись... 

[Aeooe]

пытаюсь сделать простой шлюз из Ubuntu 10.10 ссылаясь вот на эту статью : http://easylinux.ru/node/190/
Как описано встатье разрешаю пропускать трафик через комп: sudo sysctl -w net.ipv4.ip_forward="1"
И добавляю правило: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Где ррр0 это интерфейс через который идет трафик интернета.
На клиентсокм компе прописываю основной шлюз и днс ip адресс сервера Linux. Пытаюсь пропинговать yandex - ни один покет не прошел. Что сделал не так?

[fisher74]

Что сделал не так?

Вот это

днс ip адресс сервера Linux.

и вопрос, как мне кажется, не совсем в тот топик.

[_Flash]

Добрый день. Есть машина с Ubuntu 11.10 eth0 смотрит в локалку(192.168.0.0) eth1 смотрит в инет напрямую, подскажите как раздать интернет в сеть не для всех а для отдельных машин. На машине по умолчанию настроен основной шлюз в инет, локалку видит отлично, с локальной сети машина пингуеться.
включил маршрутизацию
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
добавил правило
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.x.x.x -s 192.168.22.60/255.255.255.255
ничего не получилось. Подскажите как правильно это сделать. За ранее благодарен за помощь.

[fisher74]

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.x.x.x -s 192.168.22.60/255.255.255.255

И проверьте: может ещё какие правила затесались. И включился ли форвард, а то именно такой командой, какую указали Вы - не сработает (о чём он Вам и должен был торжественно заявить)

[AnrDaemon]

"Выпустить в интернет" и "только для отдельных машин" - это две разных задачи.
Первая решается точно, как рассказано в прилепленном топике.
Вторая-

Код: [Выделить]

*filter
:FORWARD DROP [0:0]
:ALLOW_HOSTS - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ALLOW_HOSTS
-A ALLOW_HOSTS -i eth0 -s ipaddr1/32 -j ACCEPT
-A ALLOW_HOSTS -i eth0 -s ipaddr2/32 -j ACCEPT
-A ALLOW_HOSTS -i eth0 -s network/mask -j ACCEPT
COMMIT

[_Flash]

раньше у нас стояла машина с стареньким redhat в ней мы прописывали прямой доступ к инету iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.x.x.x -s 192.168.22.60/255.255.255.255 без каких либо дополнительных настроек на локальной машине, но к сожалению машина померла. Сеть построена на базе домена windows 2008 сервера сейчас без прямого доступа к интернету

AnrDaemon,

Вторая-
Код: [Выделить]
*filter
:FORWARD DROP [0:0]
:ALLOW_HOSTS - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ALLOW_HOSTS
-A ALLOW_HOSTS -i eth0 -s ipaddr1/32 -j ACCEPT
-A ALLOW_HOSTS -i eth0 -s ipaddr2/32 -j ACCEPT
-A ALLOW_HOSTS -i eth0 -s network/mask -j ACCEPT
COMMIT

подскажите что с этим сделать и куда прописать?

[chester_+1]

Заметил подозрительную активность с двух ip-адресов (причем разных подсетей) одного провайдера. Никого из знакомых там нет, адрес тоже не светил. Стучатся в вебморду. Из не тривиальных средств защиты: GeoIP. Но незадача в том, что ломятся земляки.

Разбираться кто/зачем, писать провайдеру - нет желания. Значит будем банить комплексно, все подсети. Всего их около 7-8.

Вопрос. Можно оптимизировать правила, не задавая их таким образом:

Код: [Выделить]

iptables -A black-list -s подсеть_провайдера -j DROPзадав одним правилом или логикой попадания в цепочку black-list.

[AnrDaemon]

Можно поступить намного проще.
Ограничить количество соединений с одного адреса - и пусть ломятся.
Или перенести вебморду на SSL/привязать к localhost.

[chester_+1]

AnrDaemon
Вебморда = webmin. Там из коробки защита имеется.

граничить количество соединений с одного адреса - и пусть ломятся.

Есть. Ограничение на соединения (10), плюс ограничение по времени (доступ в светлое время суток на внешку).

Побродил по манам... В новых версиях (если правильно понял) адреса задаются через запятую. Как раз то что нужно, но у меня v1.4.4, а фитча с 1.4.6.  Может помочь модуль iprange.
Получаются правила для цепочки black-list:

Код: [Выделить]

iptables -A black-list -m iprange --src-range хх.хх.176.0-хх.хх.183.255 -j black-list_1
а в black-list_1 уже описываем подсети

Код: [Выделить]

iptables -A black-list_1 -s хх.хх.176.0/24 -j DROP
iptables -A black-list_1 -d хх.хх.176.0/24 -j DROP
iptables -A black-list_1 -s хх.хх.177.0/24 -j DROP
iptables -A black-list_1 -d хх.хх.177.0/24 -j DROP
и т.д.

Что скажете? 

[alexxnight]

Более удобно для такого использовать ipset. Кол-во строк кода резко сокращается. Работать будет гораздо быстрее. Удобно сохранять список "плохих" ip адресов в файл и затем загружать по необходимости.... Да много там всего, посмотрите...

[AnrDaemon]

Я бы сделал проще. Кстати, мой ответ как раз перед вашим первым постом. Так что самоцитированием заниматься не буду.

[Orche]

Доброго дня всем.
Стоит Ubuntu server 11.04,пока поднял прокси сервер со статистикой. В IPTABLES записей никаких нет.
Форвардинг пакетов включен.
Необходимо дать доступ локальной машине к удаленному серверу видеонаблюдения.
EXT_IP - IP видеорегистратора ,по 37777 порту к нему подключаемся
INT_IP - IP локального компьютера, откуда смотрим видео
GATE_IP - внутренний IP шлюза на Ubuntu
В настройках клиента видеонаблюдения на локальной машине указан IP шлюза Ubuntu и порт 37777.

В имеющемся виндовом шлюзе с USERGATE работает правило : слушаем входящие локальные соединения на порт 37777, отправляем на EXT_IP:37777 ,видео у клиента показывает.
Пытаясь повторить это в iptables, пока что сумел родить только такое правило, которого,видимо недостаточно

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d GATE_IP --dport 37777 -j DNAT --to-destination EXT_IP:37777Правильно ли я понимаю, что необходима еще цепочка с обратным преобразованием адреса (sNAT)?

[AnrDaemon]

DNAT, вроде как, обратные пакеты сам разбирает.

[fisher74]

А обращаетесь к видеорегистратору по адресу гейта?