HOWTO: Iptables для новичков

[ivsatel]

Не пойму почему не работает правило

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0Когда правило

Код: [Выделить]

[328718:16740168] -A FORWARD -s 192.168.1.0/24 -i eth0работает
Ведь согласно http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGGENERAL Трафик идет в обеих направлениях.
Если это особенность работы NAT, то как можно по другому выделить трафик, адресованный LAN в цепочке FORWARD ?

[fisher74]

Судя по Вашим счётчикам сеть 192.168.1.0/24 находится со стороны eth0, а значит пакеты входящие через eth0 не могут быть направлены в сторону этой сети.

[ivsatel]

fisher74
Вот этого и не пойму. Пробовал
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0
Тоже не работает. Хотя ведь пакет исходящий и направление в LAN.

[fisher74]

Нужно смотреть всю цепочку. -A добавляет правило в конец цепочки, и возможно впереди есть правило уже удовлетворяющее всем пакетом. Пользуйтесь параметром  -I для добавления правило нужным порядочным номером в цепочке.

[AnrDaemon]

Нужно смотреть всю цепочку.

Приводите вывод iptables-save полностью. Тогда сможем ответить.
А пока могу только предположить, что это правило вам вообще не нужно/вы не понимаете, как работает netfilter.

[ivsatel]

Таблесы:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Mon Feb 27 18:30:27 2012
*filter
:INPUT DROP [5395134:531635015]
:FORWARD DROP [1:76]
:OUTPUT ACCEPT [67775563:87701724776]
[51933:2639026] -A INPUT -m state --state INVALID -j DROP
[3095:1188530] -A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
[0:0] -A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
[67:2680] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j DROP
[1169:60132] -A INPUT -i ppp+ -p tcp -m multiport --ports 113,135,136,137,138,139,9000,2002,20,21,22,23,3389,3306 -j DROP
[2497:176067] -A INPUT -i ppp+ -p udp -m multiport --ports 113,135,136,137,138,139,9000,2002,20,21,22,23,3389,3306 -j DROP
[203995:14658172] -A INPUT -s 192.168.1.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
[36120572:14937420579] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[941:57446] -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
[20191:1107455] -A FORWARD -m state --state INVALID -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID -j REJECT --reject-with tcp-reset
[20159:1960858] -A FORWARD -i ppp+ -p icmp -m limit --limit 10/min --limit-burst 1 -j DROP
[180772:9131436] -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[1651914:136730228] -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp -m multiport ! --ports 53,67,68,80,8080 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p udp -m multiport ! --ports 53,67,68,80,8080 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
[328718:16740168] -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m multiport --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[7783:483937] -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp -m multiport --ports 53,67,68,80,8080 -m connlimit --connlimit-above 60 --connlimit-mask 32 -j DROP
[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0 -p tcp -m multiport --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0 -p udp -m multiport --ports 53,67,68,80,8080 -m connlimit --connlimit-above 60 --connlimit-mask 32 -j DROP
[106738813:110823923055] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[245924:14499433] -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Mon Feb 27 18:30:27 2012
# Generated by iptables-save v1.4.4 on Mon Feb 27 18:30:27 2012
*nat
:PREROUTING ACCEPT [9002167:793158940]
:POSTROUTING ACCEPT [834018:41247396]
:OUTPUT ACCEPT [171273:11361666]
[77350:3997394] -A PREROUTING -i ppp+ -p tcp -m tcp --dport 26001 -j DNAT --to-destination 192.168.1.2
[75906:5508580] -A PREROUTING -i ppp+ -p udp -m udp --dport 26001 -j DNAT --to-destination 192.168.1.2
[1279660:86948811] -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Feb 27 18:30:27 2012
# Generated by iptables-save v1.4.4 on Mon Feb 27 18:30:27 2012
*mangle
:PREROUTING ACCEPT [237267571:179899220577]
:INPUT ACCEPT [41779409:15487837961]
:FORWARD ACCEPT [195436155:164408187340]
:OUTPUT ACCEPT [67775570:87701725367]
:POSTROUTING ACCEPT [261003878:251944154853]
[112967796:111904458056] -A PREROUTING -i ppp+ -j TTL --ttl-set 128
[2166198:108122228] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
[87212446:53473719395] -A POSTROUTING -o ppp+ -j TTL --ttl-set 128
COMMIT
# Completed on Mon Feb 27 18:30:27 2012

[AnrDaemon]

[203995:14658172] -A INPUT -s 192.168.1.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
[36120572:14937420579] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Поменять местами.
Так же это ответ, почему в вашем правиле ничего нет.
Исходящие -s 192.168.1.0/24 -i eth0 у вас разрешены, и релейтеды разрешены. Всё... вопрос исчерпан.

[fisher74]

Всё... вопрос исчерпан.

Уважаемый AnrDaemon, брызгая слюной, совершенно упустил, что разговор шёл про цепочку FORWARD, а не про INPUT. Ваше поведение и вправду становится невыносимым. Переставайте хамить, даже между строк.

[106738813:110823923055] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[245924:14499433] -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

На самом деле вот эти правила портят Вам, ivsatel, дорогу к пониманию. Только учтите, они портят именно дорогу к пониманию, а не работу шлюза.

[AnrDaemon]

Я бы на вашем месте не пытался работать телепатом.
А ваше утверждение, что разговор вёлся про цепочку FORWARD, я и не подумаю оспаривать. Так как я имел в виду и её тоже.

[fisher74]

На этом форуме приходится потренироваться и в телепатии, как и Вам, собственно.
А про FORWARD.... Значит Вы как-то по особенному приподнесли, что это только наморщив лоб становится понятно.
Просто не стоит забывать, что далеко не все в трусах родятся.

Ждём ivsatel с его исследованиями работы netfilter...
Да и остальных новичков и тех кто вычеркнул себя их этих рядов, тоже приглашаем задать вопросы.

[ivsatel]

Во первых Всем спасибо за помощь!
Хотелось бы прояснить мое понимание работы netfilter.
Пакет проходит цепочки пока не дойдет до однозначного DROP, ACCEPT и т.д.
Вот тут я не пойму. Порядок правил задается с использованием iptables -I FORWARD 1 и т.д.
Правила

Код: [Выделить]

[106738813:110823923055] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[245924:14499433] -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT Задаются последними. Но под правила

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0Не попадает ни одного пакета. Не пойму почему...
Я подозреваю, что пакет идущий из вне/интернет имеет адрес назначения тоесть -d ip_shluz и в таком состоянии следует сквозь цепочку filter-FORWARD, а -d 192.168.1.0/24 он получит только дойдя до цепочки nat-POSTROUTING
Верно ли мое предположение?

[fisher74]

С порядком правил в цепочке Вы опять плывёте.
Команда -I с порядковым номером нужна для ручной вставки правила в нужную позицию.
iptables-save выводит в том порядке, в котором эти правила стоят в цепочке. И Ваша -A будет поставлена в конец.
Теперь про прохождение пакета цепочки FORWARD. Мы так до конца и не определились eth0 смотрит в сторону сети 192.168.0.0/24 или в сторону провайдера? Судя по вышеприведённым правилам - первый вариант. Тогда пакет из интернета просто не может попасть на хосты 192.168.0.0/24 входя через eth0

[AnrDaemon]

http://www.docum.org/docum.org/kptd/
жеж...
Пакет таки может попасть на eth0 с назначением 192.168.1/24 (адрес назначения изменяется раньше, в цепочке nat).
Но это правило не имеет смысла после
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

Эээ... минуту.
Мы про какие правила сейчас говорим? Автор начал с 192.168.1/24, а сейчас я вообще запутался.

[ivsatel]

С порядком правил в цепочке Вы опять плывёте.
Команда -I с порядковым номером нужна для ручной вставки правила в нужную позицию.
iptables-save выводит в том порядке, в котором эти правила стоят в цепочке. И Ваша -A будет поставлена в конец.

Тут я понимаю. И правила, так как их достаточное количество, я добавляю через скрипт. В котором и нумерую/задаю порядок их ввода.

Теперь про прохождение пакета цепочки FORWARD. Мы так до конца и не определились eth0 смотрит в сторону сети 192.168.0.0/24 или в сторону провайдера? Судя по вышеприведённым правилам - первый вариант. Тогда пакет из интернета просто не может попасть на хосты 192.168.0.0/24 входя через eth0

Да eth0 = LAN Соответственно ppp+ WAN
И вот тут самое темное для меня место) Я сейчас понимаю порядок прохождения так:
Из интернета -i ppp+ далее -i eth0 и с него в LAN (на хосты 192.168.1.0/24)
Я понимаю, что весь трафик из инета изначально адресован для ppp+, и пройдя nat-PREROUTING решается его маршрутизация, т.е. транзитный он или адресован непосредственно шлюзу.
Далее если он транзитный то он отправляется на eth0 для передачи его хостам из сети 192.168.1.0/24
Получается трафик из инета должен сначала войти на eth0 с ppp+ и выйти в LAN
Тут я не уверен в правильности понимания.

[fisher74]

Из интернета -i ppp+ далее -i eth0 и с него в LAN (на хосты 192.168.1.0/24)

-o этот интерфейс будет для LAN. Для понимания найдите в man-е как этот параметр и -i в полном виде пишется и поймёте